情境示意圖,photo by Jan Antonin Kolar on unsplash

資安業者Zimperium分析了使用雲端儲存的逾130萬種Android與iOS程式,發現其中有14%採用了不安全的配置,而造成用戶資料外洩或配置/伺服器資訊的曝光,讓駭客得以展開詐騙、竄改資料,甚至是接管系統。

此一研究鎖定了熱門的4款雲端儲存服務,包括AWS S3、Google Storage、Microsoft Azure與Google Firebase,這些服務主要是用來儲存行動程式的資料,或允許行動程式即時查詢資料。

研究人員發現,就算雲端服務業者已提供了各種的安全配置與詳細建議,卻經常被開發者忽略。配置錯誤的後果可能會造成使用者的個資外洩,包括檔案照片、地址或金融資訊,或者是醫療紀錄等;還有些外洩了行動程式的配置資訊,像是雲端基礎設施的規畫、安裝檔案,甚至是支付Kiosk的密碼。前者可能讓使用者淪為詐騙或網釣的受害者,後者更讓駭客有機會接管開發者的後端架構。

根據統計,在這些採用不安全配置的行動程式中,有17.6%屬於商用程式,另外工具程式、社交程式、生活類型程式以及購物程式這四者的占有比例相同,都是8.8%。

對於因不當配置而外洩資料的案例中,有幾款醫療程式外洩了使用者的檔案照片、詳細資料與測試結果;還有一些社交程式外洩了使用者的個資;一款大型遊戲程式和一款健身程式外洩了開發者的伺服器配置資訊;另有一個位於財星五百大的行動錢包,曝露了期間與支付資訊;城市交通程式曝露了支付系統的存取路徑;甚至有一款賭博程式外洩使用者的個資及登入憑證;另有一款亞洲國家的旅遊程式不僅曝露紀錄,也沒有密碼保護,輕易就能被竄改。

用戶個資的外洩可能造成詐騙或網釣攻擊,而包括伺服器、快取與資料庫等程式所使用的後端資源的曝光,更可能危害整個基礎設施。Zimperium並未公布這些採用不當雲端配置的程式名稱,僅建議它們:最簡單的保全之道就是,確保其雲端儲存或資料庫無法在沒有任何安全措施的情況下被外界存取。

熱門新聞


Advertisement