安全企业Zimperium分析了使用云计算存储的超过130万种Android与iOS程序,发现其中有14%采用了不安全的配置,而造成用户资料外泄或配置/服务器信息的曝光,让黑客得以展开诈骗、篡改资料,甚至是接管系统。
该研究锁定了热门的4款云计算存储服务,包括AWS S3、Google Storage、Microsoft Azure与Google Firebase,这些服务主要是用来存储移动程序的资料,或允许移动程序即时查询资料。
研究人员发现,就算云计算服务企业已提供了各种的安全配置与详细建议,却经常被开发者忽略。配置错误的后果可能会造成用户的个人信息外泄,包括文件照片、地址或金融信息,或者是医疗记录等;还有些外泄了移动程序的配置信息,像是云计算基础设施的规划、安装文件,甚至是支付Kiosk的密码。前者可能让用户沦为诈骗或网络钓鱼的受害者,后者更让黑客有机会接管开发者的后端架构。
根据统计,在这些采用不安全配置的移动程序中,有17.6%属于商用程序,另外工具程序、社交程序、生活类型程序以及购物程序这四者的占有比例相同,都是8.8%。
对于因不当配置而外泄资料的案例中,有几款医疗程序外泄了用户的文件照片、详细资料与测试结果;还有一些社交程序外泄了用户的个人信息;一款大型游戏程序和一款健身程序外泄了开发者的服务器配置信息;另有一个位于财富五百大的移动钱包,暴露了期间与支付信息;城市交通程序暴露了支付系统的访问路径;甚至有一款赌博程序外泄用户的个人信息及登录凭证;另有一款亚洲国家的旅游程序不仅暴露记录,也没有密码保护,轻易就能被篡改。
用户个人信息的外泄可能造成诈骗或网络钓鱼攻击,而包括服务器、缓存与数据库等程序所使用的后端资源的曝光,更可能危害整个基础设施。Zimperium并未公布这些采用不当云计算配置的程序名称,仅建议它们:最简单的保全之道就是,确保其云计算存储或数据库无法在没有任何安全措施的情况下被外界访问。