儘管苹果(Apple)相当强调作业系统安全,以及用户资料的保护,但其实还次很难控制 Apple Store 第三方应用程式要如何储存用户的数据;根据美国行动安全业者 Zimperium 最新研究显示,某些第三方应用程式业者因错误配置云端服务,导致成千上万 iOS 与 Android 用户资讯遭洩露。
据 Zimperium 研究显示,目前有 4.7 万个 iOS 应用程式,与 8.4 万个 Android 应用程式在后端使用像是 Amazon Web Services、Google Cloud、Microsoft Azure 等公有云服务,而非使用自己的伺服器。
由于使用错误的云端配置,这些应用程式将可允许骇客入侵、覆盖用户数据;且研究也显示,目前至少有 14% 使用公有云服务的应用程式一直在洩漏用户资讯,包括用户密码、健康数据等。
Zimperium 执行长 Shridhar Mittal 指出,有许多应用程式开发人员并没有正确配置正在使用的云端服务,现在已有骇客组织开始找寻这类应用程式,伺机窃取用户资讯。研究人员也发现,这些应用程式除了会外洩用户的敏感数据,甚至在一些应用程式还可能挖出网路凭证、系统设定档(System Configuration Files)、伺服器架构金钥(Server Architecture Keys),骇客将有可能利用这些资讯进行更深入的攻击。
像是 Amazon Web Services 这类云端服务业者都有提供检测错误配置工具,在这种情况下,主要为资料外洩负责的依然是应用程式开发人员;且很不幸的是,大多数用户并不知道自己的资料因这些应用程式被公开。
Zimperium 也指出,已与某些资料外洩的应用程式开发者联繫,但大多数开发者并没有想修补漏洞。且值得注意的是,会犯这种错误配置的应用程式并非只有小型开发商,就连大型应用程式开发公司也出现如此现象。
