研究:成千上萬 iOS、Android App 正在暴露用戶資訊

作者 | 發布日期 2021 年 03 月 05 日 10:53 | 分類 Android , app , iOS Telegram share ! follow us in feedly


儘管蘋果(Apple)相當強調作業系統安全,以及用戶資料的保護,但其實還次很難控制 Apple Store 第三方應用程式要如何儲存用戶的數據;根據美國行動安全業者 Zimperium 最新研究顯示,某些第三方應用程式業者因錯誤配置雲端服務,導致成千上萬 iOS Android 用戶資訊遭洩露。

Zimperium 研究顯示,目前有 4.7 萬個 iOS 應用程式,與 8.4 萬個 Android 應用程式在後端使用像是 Amazon Web ServicesGoogle CloudMicrosoft Azure 等公有雲服務,而非使用自己的伺服器。

由於使用錯誤的雲端配置,這些應用程式將可允許駭客入侵、覆蓋用戶數據;且研究也顯示,目前至少有 14% 使用公有雲服務的應用程式一直在洩漏用戶資訊,包括用戶密碼、健康數據等。

Zimperium 執行長 Shridhar Mittal 指出,有許多應用程式開發人員並沒有正確配置正在使用的雲端服務,現在已有駭客組織開始找尋這類應用程式,伺機竊取用戶資訊。研究人員也發現,這些應用程式除了會外洩用戶的敏感數據,甚至在一些應用程式還可能挖出網路憑證、系統設定檔(System Configuration Files)、伺服器架構金鑰(Server Architecture Keys),駭客將有可能利用這些資訊進行更深入的攻擊。

像是 Amazon Web Services 這類雲端服務業者都有提供檢測錯誤配置工具,在這種情況下,主要為資料外洩負責的依然是應用程式開發人員;且很不幸的是,大多數用戶並不知道自己的資料因這些應用程式被公開。

Zimperium 也指出,已與某些資料外洩的應用程式開發者聯繫,但大多數開發者並沒有想修補漏洞。且值得注意的是,會犯這種錯誤配置的應用程式並非只有小型開發商,就連大型應用程式開發公司也出現如此現象。

(首圖來源:科技新報)