Bir mobil güvenlik firmasına göre, binlerce Android ve iOS uygulaması, yaygın olarak bulunan yanlış bulut yapılandırmaları nedeniyle kullanıcı verilerini açığa çıkardı. Sorunlar, kötü niyetli saldırganların sızdırılan bilgilerden yararlanmasına izin verebilir. Araştırmacılar, Amazon Web Services, Google Cloud ve Microsoft Azure gibi popüler genel bulut hizmetlerini kullanan uygulamalarda yanlış yapılandırma sorunları buldular. Diğer uygulamaların yanı sıra, bir Fortune 500 şirketi tarafından geliştirilen bir mobil cüzdanın, kullanıcıların dolandırıcılığa yol açabilecek oturum ve ödeme bilgilerini açığa çıkardığı görüldü.
Zimperium'daki araştırmacılar, toplam test tabanının yüzde 14'ünde yanlış yapılandırma sorunları buldukları 1.3 milyondan fazla Android ve iOS uygulamasının otomatik bir analizini gerçekleştirdiler. Bir blog gönderisinde şirket, SSH anahtarları da dahil olmak üzere tüm bulut altyapısı komut dosyalarını ve tanımlarını sızdıran uygulamalar tespit ettiğini belirtti.
Şirket gönderide, "Diğer yapılandırma türleri Web sunucusu yapılandırma dosyaları, kurulum dosyaları ve hatta ödeme kiosklarının şifreleridir" dedi.
Uygulamaların, profil resimleri, kişisel bilgiler ve tıbbi test verileri dahil olmak üzere kişisel olarak tanımlanabilir bilgileri (PII) açığa çıkardığı tespit edildi. Bazı uygulamalar dolandırıcılığı veya açık fikri mülkiyet (IP) verilerini ve dahili sistemleri bile etkinleştirdi.
PII'yi açığa çıkaran uygulamalar, bazı tıbbi ve sosyal medya uygulamalarının yanı sıra büyük bir oyun uygulaması ve bir fitness uygulamasını içeriyordu. Büyük şehir içi ulaşım, çevrimiçi perakendeci ve kumar uygulamalarının da sahtekarlığa olanak sağladığı fark edildi. Ayrıca, önemli müzik, haber hizmeti, mobil ödeme cüzdanı, havaalanı, donanım geliştiricisi ve Asya hükümeti seyahat uygulamalarının IP ve sistem ayrıntılarını açığa çıkardığı bulundu. Ancak Zimperium, verileri açığa çıkaran uygulamaların tam adını açıklamadı.
"İncelememiz sırasında, herhangi bir güvenlik olmadan erişilebilen hem Google hem de Amazon depolamaya dayanan birkaç uygulamayla karşılaştık. Bir örnekte, elde edebildiğimiz bilgiler profil resimlerini ve diğer PII bilgilerini içeriyordu ”dedi Zimperium.
Araştırmacılar ayrıca, bazı durumlarda, yanlış yapılandırmaların bilgisayar korsanlarının son kullanıcılar için daha fazla kesintiye neden olabilecek verileri değiştirmesine veya üzerine yazmasına izin verdiğini keşfetti.
Wired, toplam 11.877 Android uygulamasının ve 6.608 iOS uygulamasının, yaygın bulut yanlış yapılandırmaları yoluyla kullanıcıların hassas bilgilerini açığa çıkardığını bildirdi.
Araştırmacılar, maruziyetler hakkında bazı uygulama geliştiricileriyle iletişime geçti, ancak birçok uygulamanın hala verileri açığa çıkardığı görüldü. Çoğu uygulama geliştiricisinin ulaştığı yanıt da minimum düzeydedir.
Amazon, Google ve Microsoft gibi bulut hizmeti sağlayıcıları, verilerin açığa çıkmasını önlemek için yöntemler sağlar. Ancak, kullanıcılarının güvenliğini sağlamak için uygun yapılandırmaları kullanmak üzere uygulamalar sunan geliştiricilerin ve şirketlerin nihai sorumluluğudur.
Zimperium, "Bulut hizmetinizi yetkisiz harici erişime kapattıktan sonra yapabileceğiniz bir sonraki şey, standart geliştirme sürecinizin bir parçası olarak güvenli yazılım geliştirme yaşam döngünüzü değerlendiren bir hizmet kullanmaktır" dedi.
Önemlisi, Zimperium, Google'ın Google Play için otomatik uygulama taraması sunmayı amaçlayan App Defense Alliance girişiminin bir parçası olan üç mobil güvenlik şirketinden biridir.
Wired, Zimperium araştırmacılarının bulut yanlış yapılandırmalarını araştırmak için App Defense Alliance programı için kullandığı araç setinin aynısını kullandığını bildirdi. Bununla birlikte, şirket, yanlışlıkla maruz kalma durumlarını aramak yerine, potansiyel olarak kötü niyetli işlevleri bulmak için Google Play araçlarını kullanır.
WhatsApp'ın yeni gizlilik politikası, gizliliğinizin sonunu mu ifade ediyor? Bunu, Apple Podcasts, Google Podcasts veya RSS aracılığıyla abone olabileceğiniz, bölümü indirebileceğiniz veya aşağıdaki oynat düğmesine basabileceğiniz haftalık teknoloji podcastimiz Orbital'de tartıştık.