久久精品国产电影,国产欧美日韩精品第一区

　　在分析了 23 個(gè) Android 應(yīng)用后，Check Point Research （CPR）團(tuán)隊(duì)發(fā)現(xiàn)，移動(dòng)應(yīng)用開發(fā)人員可能通過(guò)各種配置錯(cuò)誤的第三方云服務(wù)泄露了超過(guò) 1 億用戶的個(gè)人數(shù)據(jù)。這些個(gè)人數(shù)據(jù)包括電子郵件、聊天消息、位置、密碼和照片，攻擊者可能會(huì)利用這些數(shù)據(jù)進(jìn)行欺詐、身份盜用和服務(wù)刷卡。

CPR 發(fā)現(xiàn) 13 個(gè) Android 應(yīng)用的實(shí)時(shí)數(shù)據(jù)庫(kù)的敏感數(shù)據(jù)遭泄露，每個(gè)應(yīng)用的下載量均在 10,000 到 1,000 萬(wàn)之間
CPR 發(fā)現(xiàn)許多 Android 應(yīng)用本身嵌入了推送通知功能和云存儲(chǔ)密鑰
CPR 舉出了一些易受攻擊的應(yīng)用例子：星座、出租車、徽標(biāo)制作者、屏幕錄制和傳真應(yīng)用，這些應(yīng)用的用戶和開發(fā)人員容易遭受攻擊

　　現(xiàn)代云解決方案已成為移動(dòng)應(yīng)用開發(fā)領(lǐng)域的新標(biāo)準(zhǔn)。開發(fā)人員只需點(diǎn)擊一下即可將云存儲(chǔ)、實(shí)時(shí)數(shù)據(jù)庫(kù)、通知管理和分析等服務(wù)集成到應(yīng)用中。然而，開發(fā)人員經(jīng)常會(huì)忽略這些服務(wù)的配置及內(nèi)容所存在的安全問(wèn)題。

　　CPR 最近發(fā)現(xiàn)，在過(guò)去的幾個(gè)月中，許多應(yīng)用開發(fā)人員在為應(yīng)用配置和集成第三方云服務(wù)時(shí)沒(méi)有遵循最佳安全實(shí)踐，導(dǎo)致他們的數(shù)據(jù)和數(shù)百萬(wàn)用戶的私人信息遭到泄露。配置錯(cuò)誤為用戶的個(gè)人數(shù)據(jù)和開發(fā)人員的內(nèi)部資源（如訪問(wèn)更新機(jī)制、存儲(chǔ)等）帶來(lái)了風(fēng)險(xiǎn)。

　　錯(cuò)誤配置實(shí)時(shí)數(shù)據(jù)庫(kù)

　　實(shí)時(shí)數(shù)據(jù)庫(kù)支持應(yīng)用開發(fā)人員將數(shù)據(jù)存儲(chǔ)在云端，從而實(shí)現(xiàn)數(shù)據(jù)與每個(gè)聯(lián)網(wǎng)客戶端的實(shí)時(shí)同步。該服務(wù)不僅解決了應(yīng)用開發(fā)中的一個(gè)常見問(wèn)題，而且還可確保數(shù)據(jù)庫(kù)適用于所有客戶端平臺(tái)。但是，如果應(yīng)用開發(fā)人員沒(méi)有為實(shí)時(shí)數(shù)據(jù)庫(kù)配置身份驗(yàn)證等簡(jiǎn)單的基本特性，將會(huì)發(fā)生什么呢？

　　這種實(shí)時(shí)數(shù)據(jù)庫(kù)配置錯(cuò)誤問(wèn)題由來(lái)已久，并且仍然非常普遍，受此問(wèn)題影響的用戶多達(dá)數(shù)百萬(wàn)。為此，CPR 研究人員嘗試訪問(wèn)了數(shù)據(jù)，結(jié)果發(fā)現(xiàn)，實(shí)時(shí)數(shù)據(jù)庫(kù)沒(méi)有采取任何措施來(lái)阻止該未經(jīng)授權(quán)的訪問(wèn)。

　　在調(diào)查開源數(shù)據(jù)庫(kù)的內(nèi)容時(shí)，Check Point安全顧問(wèn)從中獲得了很多敏感信息，包括電子郵件地址、密碼、私人聊天、設(shè)備位置、用戶標(biāo)識(shí)符等。如果攻擊者獲得了該數(shù)據(jù)，可能會(huì)進(jìn)行服務(wù)刷卡（即嘗試在其他服務(wù)上使用相同的用戶名和密碼組合）、欺詐和/或身份盜用。

　　Google Play 上采用開源實(shí)時(shí)數(shù)據(jù)庫(kù)的部分應(yīng)用

　　Logo Maker上用戶的電子郵件、密碼、用戶名和 ID

　　CPR 研究人員發(fā)現(xiàn)，下載量超過(guò) 1,000 萬(wàn)的熱門星座、星象和手相應(yīng)用 Astro Guru 也出現(xiàn)了這種配置錯(cuò)誤。用戶輸入個(gè)人信息（例如姓名、出生日期、性別、位置、電子郵件和付款明細(xì)）后，Astro Guru 將為他們生成一份個(gè)人星座和星象預(yù)測(cè)報(bào)告。這種星象預(yù)測(cè)竟然暴露了敏感數(shù)據(jù)，簡(jiǎn)直令人咋舌！

　　拋卻個(gè)人信息不說(shuō)，泄露實(shí)時(shí)數(shù)據(jù)更令人無(wú)語(yǔ)，這可是實(shí)時(shí)數(shù)據(jù)庫(kù)原本存在的意義��！在下載量超過(guò) 5 萬(wàn)的出租車應(yīng)用 T'Leva 上，CPR 研究人員成功訪問(wèn)了司機(jī)與乘客之間的聊天消息，并檢索到了用戶的姓名、電話號(hào)碼和位置（目的地和上車地點(diǎn)），所有信息只需通過(guò)向數(shù)據(jù)庫(kù)發(fā)送一個(gè)請(qǐng)求即可獲得。

　　推送通知

　　推送通知管理器是移動(dòng)應(yīng)用行業(yè)使用最廣泛的服務(wù)之一。推送通知通常用于標(biāo)記新的可用內(nèi)容、顯示聊天消息、電子郵件等。大多數(shù)推送通知服務(wù)都需要一個(gè)密鑰（有時(shí)不止一個(gè)）來(lái)識(shí)別請(qǐng)求發(fā)送者的身份。如果這些密鑰只是簡(jiǎn)單地嵌入到應(yīng)用文件中，黑客很容易就會(huì)搶走控制，并冒充開發(fā)人員向所有用戶發(fā)送可能包含惡意鏈接或內(nèi)容的通知。

　　試想一下，如果一個(gè)新聞媒體應(yīng)用向用戶推送了虛假新聞通知，進(jìn)而將用戶重定向到網(wǎng)絡(luò)釣魚頁(yè)面，后果將不堪設(shè)想。由于該通知來(lái)自官方應(yīng)用，用戶自然會(huì)認(rèn)為這是官方發(fā)出的合法消息，而非黑客發(fā)起的惡意攻擊。

　　云存儲(chǔ)

　　在過(guò)去的幾年中，移動(dòng)應(yīng)用云存儲(chǔ)得到飛速發(fā)展，允許訪問(wèn)開發(fā)人員或安裝應(yīng)用共享的文件。以下兩個(gè)示例是 CPR 研究人員在 Google Play 上發(fā)現(xiàn)的應(yīng)用：

　　“Screen Recorder”應(yīng)用用于記錄用戶的設(shè)備屏幕并將錄像存儲(chǔ)在云服務(wù)中，下載量超過(guò) 1,000萬(wàn)。盡管通過(guò)云訪問(wèn)屏幕錄像非常方便，但如果開發(fā)人員將用戶個(gè)人密碼放到存儲(chǔ)錄像的同一云服務(wù)上，則可能會(huì)產(chǎn)生嚴(yán)重的影響。在對(duì)應(yīng)用文件進(jìn)行快速分析之后，CPR 研究人員恢復(fù)了所述密鑰，從而獲得了對(duì)每個(gè)存儲(chǔ)錄像的訪問(wèn)權(quán)。

　　第二個(gè)應(yīng)用“iFax”不僅嵌入了云存儲(chǔ)密鑰，而且保存了所有傳真?zhèn)鬏斝畔ⅰＶ恍枰獙?duì)應(yīng)用加以分析，攻擊者就能夠訪問(wèn) 50 萬(wàn)應(yīng)用用戶發(fā)送的所有文檔。

　　在本文章發(fā)布之前，CPR 已聯(lián)系 Google 和所有應(yīng)用開發(fā)人員，報(bào)告了我們的研究發(fā)現(xiàn)。其中一些應(yīng)用的配置已經(jīng)更改。

　　如何做好自我防護(hù)

　　黑客攻擊移動(dòng)設(shè)備的手段五花八門，比如使用惡意應(yīng)用、發(fā)起網(wǎng)絡(luò)層攻擊以及利用設(shè)備和移動(dòng)操作系統(tǒng)漏洞等。隨著移動(dòng)設(shè)備的重要性與日俱增，越來(lái)越多的網(wǎng)絡(luò)犯罪分子盯上了這塊肥肉。最終，針對(duì)這些設(shè)備的網(wǎng)絡(luò)威脅變得更加多樣化。一款有效的移動(dòng)威脅防御解決方案應(yīng)該既能檢測(cè)和響應(yīng)各種不同的攻擊，又能提供積極的用戶體驗(yàn)。

　　Check Point Harmony Mobile 是市場(chǎng)領(lǐng)先的移動(dòng)威脅防御（MTD）和移動(dòng)應(yīng)用信譽(yù)服務(wù) （MARS）解決方案，能夠提供一系列廣泛的功能，確保移動(dòng)設(shè)備及其數(shù)據(jù)的安全。

第三方云服務(wù)配置錯(cuò)誤致使1億多用戶數(shù)據(jù)泄露

評(píng)論排行

推薦閱讀

專題

大家都在看

CTI論壇會(huì)員企業(yè)