尽管苹果(Apple)相当强调操作系统安全,以及用户资料的保护,但其实还次很难控制 Apple Store 第三方应用程序要如何储存用户的数据;根据美国行动安全业者 Zimperium 最新研究显示,某些第三方应用程序业者因错误配置云端服务,导致成千上万 iOS 与 Android 用户资讯遭泄露。
据 Zimperium 研究显示,目前有 4.7 万个 iOS 应用程序,与 8.4 万个 Android 应用程序在后端使用像是 Amazon Web Services、Google Cloud、Microsoft Azure 等公有云服务,而非使用自己的服务器。
由于使用错误的云端配置,这些应用程序将可允许骇客入侵、覆盖用户数据;且研究也显示,目前至少有 14% 使用公有云服务的应用程序一直在泄漏用户资讯,包括用户密码、健康数据等。
Zimperium 首席执行官 Shridhar Mittal 指出,有许多应用程序开发人员并没有正确配置正在使用的云端服务,现在已有骇客组织开始找寻这类应用程序,伺机窃取用户资讯。研究人员也发现,这些应用程序除了会外泄用户的敏感数据,甚至在一些应用程序还可能挖出网络凭证、系统设定档(System Configuration Files)、服务器架构金钥(Server Architecture Keys),骇客将有可能利用这些资讯进行更深入的攻击。
像是 Amazon Web Services 这类云端服务业者都有提供检测错误配置工具,在这种情况下,主要为资料外泄负责的依然是应用程序开发人员;且很不幸的是,大多数用户并不知道自己的资料因这些应用程序被公开。
Zimperium 也指出,已与某些资料外泄的应用程序开发者联系,但大多数开发者并没有想修补漏洞。且值得注意的是,会犯这种错误配置的应用程序并非只有小型开发商,就连大型应用程序开发公司也出现如此现象。
(首图来源:科技新报)
