多年来,当公司将数据保存在云计算中时,简单的设置错误一直是一个主要的暴露源。组织经常错误地配置他们的防御系统,而不是谨慎地限制谁可以访问存储在云基础设施中的信息。这就好比在去度长假之前,把家里的门窗都开着一样。数据泄露问题不仅仅适用于那些通常占据新闻头条的web服务。移动安全公司Zimperium发现,这些漏洞对iOS和Android应用也是一个重大问题。
Zimperium对130多万个Android和iOS应用程序进行了自动分析,以检测泄露数据的常见云配置错误。研究人员发现,近84000个安卓应用程序和近47000个iOS应用程序在后台使用公共云服务,如亚马逊网络服务、谷歌云或微软azure,而不是运行自己的服务器。研究人员发现,其中14%的应用程序(11877个安卓应用程序和6608个iOS应用程序)配置错误,暴露了用户的个人信息、密码,甚至医疗信息。
Zimperium首席执行官Shridhar Mittal表示:“这是一个令人不安的趋势。“很多这些应用都有云存储,但开发者或其他人没有正确配置云存储,正因为如此,所有人都可以看到数据。我们大多数人现在都有一些这样的应用。”
研究人员联系了他们发现的一些应用程序制造商,但他们表示,响应很少,许多应用程序仍有数据暴露。这就是Zimperium在报告中没有提及受影响应用的原因。此外,研究人员无法通知成千上万的开发人员。但米塔尔表示,他们研究的服务涵盖了从数千用户到数百万用户的应用程序。其中一款受到质疑的应用是一款来自《财富》500强公司的移动钱包,它公开了一些用户的会话信息和财务数据。另一个是一个大城市的交通应用程序,它公开了支付数据。研究人员还发现,医疗应用程序中有测试结果,甚至用户的个人资料图像公开。
鉴于Zimperium发现了近2万个存在云配置错误的应用程序,该公司没有试图单独评估攻击者是否已经发现并滥用了任何暴露的信息。但是,利用Zimperium在研究中使用的公开信息,这些敞开的门窗很容易被坏人发现。黑客组织已经在做这种类型的扫描,以发现web服务中的云错误配置。Mittal说,除了敏感的用户数据,研究人员还在一些暴露的应用程序存储中发现了网络证书、系统配置文件和服务器架构密钥,攻击者可能会利用这些文件来深入访问一个组织的数字系统。
最重要的是,研究人员发现,一些错误配置将允许不良行为者更改或覆盖数据,为欺诈和破坏创造额外的可能性。
虽然AWS等主要云服务提供商已经努力主动检测可能的错误配置,并警告客户,但最终还是要由开发人员和it管理员来检查是否按照预期设置。
长期从事iOS安全研究的威尔·斯特拉法奇(Will Strafach)表示:“错误配置可能会成为一个广泛存在的问题,这绝对是有道理的。”他也是《卫报防火墙》(Guardian Firewall)应用程序的开发者。“我看到AWS的存储桶有糟糕的权限,我还看到多个VPN节点暴露数据。我看到很多公司的应用程序都存在可怕的安全问题,他们本应该更了解这些问题。”
Zimperium是参与谷歌应用防御联盟计划的三家移动安全公司之一,该公司为谷歌Play商店进行自动应用扫描。Zimperium公司的米塔尔表示,该公司在应用程序防御联盟的工作中使用的工具,与研究人员在云错误配置调查中使用的工具相同。但在扫描联盟时,Zimperium会寻找潜在的恶意功能,而不是意外暴露。
Mittal希望提高人们对移动云错误配置的认识,将激励开发人员更仔细地审视他们的基础设施,并打开几个开关来锁定东西。但是考虑到在一个组织中找到合适的人是多么困难——而且公司外包自己的应用程序开发是多么普遍——解决这个问题可能需要时间。
米塔尔说:“对于用户来说,他们的个人身份信息、医疗信息、测试结果、电话号码,甚至某些账户的密码都可能被泄露。”对企业来说,这也带来了风险。攻击者可以收集信息,帮助他们深入攻击。”
有许多难以实现的安全保护措施,组织甚至可能有意避免这些措施,比如给始终在线的系统打补丁或更换易受攻击的硬件。然而,当涉及到处理云错误配置时,大多数应用程序只需要勾选一些复选框,就可以显著提高数据的隐私性和安全性。
