Bazı uygulamalarda gerçek zamanlı bulut hizmetlerinin yanlış yapılandırılmasının hassas kullanıcı verilerine erişime izin verdiği tespit edildi; gibi e-posta adresleri, özel mesajlar, fotoğraflar ve hatta şifreler. Bu yanlış yapılandırma, yüz milyondan fazla indirme biriktiren belirli Android uygulamalarında uygulandı.
Bir uygulamanın kullanıcılara hizmet sunabilmesi için belirli bilgileri bir veritabanında depolaması gerekir. sürekli karşılaştırın ve kişinin ihtiyaç duyduğu şeyi indirin. Örneğin, bir taksi uygulaması bir kullanıcı adı, adres veya ödeme yöntemlerinin saklanmasını gerektirir; tüm bu hassas bilgilerin gerçek zamanlı olarak veritabanları üzerinden yönetilmesi, kullanıcının uygulamalarda gecikme yaşamaması. CheckPoint Research’ün bulduğu gibi sorun, tüm uygulamaların bu hayati veritabanlarını korumamasıdır.
Herhangi bir koruma sistemi olmadan gerçek zamanlı veritabanları
Ciddi bir gizlilik hatası olduğunu söylemeliyiz. az sayıda uygulamayı etkiler; Logo Maker veya AstroGuru gibi on milyondan fazla indirilen uygulamaları dışarıda bırakmadan. CheckPoint güvenlik kurumundan araştırmacıların keşfettiği gibi, bir saldırgan bu uygulamaların veritabanına basitçe bir istekte bulunarak hassas bilgilere erişebilir.
Uygulamaların veritabanlarında bilgi depolaması gerektiğinden ve uygulamaların saklanan bilgilere sürekli erişim gerektirdiğinden, geliştiriciler gerçek zamanlı veritabanlarını kullanır. uygulamaları kullanıcılar için daha az çekici hale getirmeden süreçleri kolaylaştırın. Sorun, bu veritabanlarına erişim korunmadığında ortaya çıkar: istekleri yakalayarak, URL’leri analiz ederek ve web’i maskeleyerek dışarıdan bir istekte bulunun son derece hassas bilgiler elde etmek mümkündür. Bu hem gizlilik hem de güvenlik açısından ciddi bir sorundur.
{«videoId»:»x801azu»,»autoplay»:true,»title»:»ANDROID’İNİZİ VİRÜSLER VE ZARARLI YAZILIMLARDAN KORUMA: İpuçları ve Püf Noktaları»}
CheckPoint tarafından belirtildiği gibi, araştırmacılar e-posta adresleri, kullanıcı adları, şifreler, fotoğraflar ve hatta sohbet mesajları almayı başardılar. özel olması gerekiyordu. Tümü, uygulamaların dışından gelen bir talebi engellemeyen, gerçek zamanlı olarak veritabanlarında saklanır.
Gerçek zamanlı veritabanları kimlik doğrulama ile korunmadığından, saklanan herhangi bir bilgi, etkilenen uygulamaların dışından istekte bulunanlara karşı savunmasızdır.
Logo Maker, AstroGuru, Screen Recorder, iFax veya T’Leva gibi uygulamaların yetkisiz isteklere karşı savunmasız olduğu kanıtlandı: Bu uygulamalardan herhangi birine sahipseniz, bunları kaldırmak en iyisidir.. CheckPoint, keşfini geliştiricilere ve ayrıca Google’a bildirdi. Uygulamaların birçoğu CheckPoint Research’ün tavsiyesi üzerine güncellendi ve şu anda savunmasız değil.
Daha fazla bilgi | kontrol noktası
– Haberler Bazı Android uygulamalarının yanlış yapılandırılması nedeniyle 100 milyondan fazla kullanıcının kişisel verileri açığa çıkıyor aslen yayınlandı Android Ivan Linares tarafından.
Orijinal kaynağı kontrol edin
Bunu severim:
Yükleniyor…
