太阳城集团佣金最高占成:Check Point发现:第三方云服务配置错误致使 1 亿多用户数据泄露

本文来源:http://www.5566833.com/news_sohu_com/

菲律宾太阳娱乐登入官网,  一是推进党组织和党的工作全覆盖。他笑说,对于有一定教育经历和生活常识的人来说,这些题目都不在话下。维护师道尊严,教师要增强成为好老师的使命感习近平总书记强调,做好老师,要有理想信念、有道德情操、有扎实学识、有仁爱之心。  尽管如此,更多中小游戏开发者宁愿铤而走险,开启“曲线救国”模式。

平安好医生借助互联网+,落地家庭医生,对推动分级诊疗医改具有重要意义。”  Schulze-Makuch对生命是否能够演化出复杂的形态保持乐观,只要有足够长的时间。  再次,发挥作用要全面覆盖。  “蟾宫玉兔方圆梦”,中科院院长白春礼赋诗这样赞颂“嫦娥三号”的创新成果。

对于未按照法定条件和程序实施民办幼儿园办学许可的,侵犯民办幼儿园合法权益的,以及发现违法行为不依法进行查处的,浙江按照管理权限由相应机关对直接负责的主管人员和其他直接责任人员依法给予处分。  创办网易的时候,我的理想是成功之后自己能有一套房子,有一辆汽车,不用每天都准时上班,可以睡懒觉,有钱可以出去旅游。在自主品牌定价集中于10万元内的当下,不知道启辰T90打的是什么牌。对于此次诉讼,深华发解释称,主要系因拆迁问题导致工期进度落后于原计划,并且万科坚持更改规划设计方面导致双方合同内容与政府备案不一致,以至于在项目规划审批以及实施主体确认等环节出现困难。

作者:Check Point   来源:业界供稿    2021-05-25 16:03:52

关键字: 数据泄露 云服务 Check Point

在分析了 23 个 Android 应用后,Check Point Research (CPR) 团队发现,移动应用开发人员可能通过各种配置错误的第三方云服务泄露了超过 1 亿用户的个人数据。

在分析了 23 Android 应用后,Check Point Research (CPR) 团队发现,移动应用开发人员可能通过各种配置错误的第三方云服务泄露了超过 1 亿用户的个人数据。这些个人数据包括电子邮件、聊天消息、位置、密码和照片,攻击者可能会利用这些数据进行欺诈、身份盗用和服务刷卡。

Check Point发现:第三方云服务配置错误致使 1 亿多用户数据泄露

  • CPR 发现 13 Android 应用的实时数据库的敏感数据遭泄露,每个应用的下载量均在 10,000 1,000 万之间
  • CPR 发现许多 Android 应用本身嵌入了推送通知功能和云存储密钥
  • CPR 举出了一些易受攻击的应用例子:星座、出租车、徽标制作者、屏幕录制和传真应用,这些应用的用户和开发人员容易遭受攻击

现代云解决方案已成为移动应用开发领域的新标准。开发人员只需点击一下即可将云存储、实时数据库、通知管理和分析等服务集成到应用中。然而,开发人员经常会忽略这些服务的配置及内容所存在的安全问题。

CPR 最近发现,在过去的几个月中,许多应用开发人员在为应用配置和集成第三方云服务时没有遵循最佳安全实践,导致他们的数据和数百万用户的私人信息遭到泄露。配置错误为用户的个人数据和开发人员的内部资源(如访问更新机制、存储等)带来了风险。  

错误配置实时数据库

实时数据库支持应用开发人员将数据存储在云端,从而实现数据与每个联网客户端的实时同步。该服务不仅解决了应用开发中的一个常见问题,而且还可确保数据库适用于所有客户端平台。但是,如果应用开发人员没有为实时数据库配置身份验证等简单的基本特性,将会发生什么呢?

这种实时数据库配置错误问题由来已久,并且仍然非常普遍,受此问题影响的用户多达数百万。为此,CPR 研究人员尝试访问了数据,结果发现,实时数据库没有采取任何措施来阻止该未经授权的访问。

在调查开源数据库的内容时,Check Point安全顾问从中获得了很多敏感信息,包括电子邮件地址、密码、私人聊天、设备位置、用户标识符等。如果攻击者获得了该数据,可能会进行服务刷卡(即尝试在其他服务上使用相同的用户名和密码组合)、欺诈和/或身份盗用。

Check Point发现:第三方云服务配置错误致使 1 亿多用户数据泄露
1 Google Play 上采用开源实时数据库的部分应

Check Point发现:第三方云服务配置错误致使 1 亿多用户数据泄露

2 Logo Maker上用户的电子邮件、密码、用户名和 ID

CPR 研究人员发现,下载量超过 1,000 万的热门星座、星象和手相应用 Astro Guru 也出现了这种配置错误。用户输入个人信息(例如姓名、出生日期、性别、位置、电子邮件和付款明细)后,Astro Guru 将为他们生成一份个人星座和星象预测报告。这种星象预测竟然暴露了敏感数据,简直令人咋舌!

抛却个人信息不说,泄露实时数据更令人无语,这可是实时数据库原本存在的意义啊!在下载量超过 5 万的出租车应用 T'Leva 上,CPR 研究人员成功访问了司机与乘客之间的聊天消息,并检索到了用户的姓名、电话号码和位置(目的地和上车地点),所有信息只需通过向数据库发送一个请求即可获得。

推送通知 

推送通知管理器是移动应用行业使用最广泛的服务之一。推送通知通常用于标记新的可用内容、显示聊天消息、电子邮件等。大多数推送通知服务都需要一个密钥(有时不止一个)来识别请求发送者的身份。如果这些密钥只是简单地嵌入到应用文件中,黑客很容易就会抢走控制,并冒充开发人员向所有用户发送可能包含恶意链接或内容的通知。

试想一下,如果一个新闻媒体应用向用户推送了虚假新闻通知,进而将用户重定向到网络钓鱼页面,后果将不堪设想。由于该通知来自官方应用,用户自然会认为这是官方发出的合法消息,而非黑客发起的恶意攻击。

云存储

在过去的几年中,移动应用云存储得到飞速发展,允许访问开发人员或安装应用共享的文件。以下两个示例是 CPR 研究人员在 Google Play 上发现的应用:

  • Screen Recorder”应用用于记录用户的设备屏幕并将录像存储在云服务中,下载量超过 1,000万。尽管通过云访问屏幕录像非常方便,但如果开发人员将用户个人密码放到存储录像的同一云服务上,则可能会产生严重的影响。在对应用文件进行快速分析之后,CPR 研究人员恢复了所述密钥,从而获得了对每个存储录像的访问权。
  • 第二个应用iFax”不仅嵌入了云存储密钥,而且保存了所有传真传输信息。只需要对应用加以分析,攻击者就能够访问 50 万应用用户发送的所有文档

在本文章发布之前,CPR 已联系 Google 和所有应用开发人员,报告了我们的研究发现。其中一些应用的配置已经更改。

如何做好自我防护

黑客攻击移动设备的手段五花八门,比如使用恶意应用、发起网络层攻击以及利用设备和移动操作系统漏洞等。随着移动设备的重要性与日俱增,越来越多的网络犯罪分子盯上了这块肥肉。最终,针对这些设备的网络威胁变得更加多样化。一款有效的移动威胁防御解决方案应该既能检测和响应各种不同的攻击,又能提供积极的用户体验。

Check Point Harmony Mobile 是市场领先的移动威胁防御 (MTD) 和移动应用信誉服务 (MARS) 解决方案,能够提供一系列广泛的功能,确保移动设备及其数据的安全。

    扫一扫

    分享文章到微信


    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号京公网安备 11010802021500号
    举报电话:13070156560 举报邮箱:jubao@菲律宾太阳娱乐登入官网 www.5566833.com 安全联盟认证
    申博微信支付充值 申博会员登入 菲律宾申博现金网登入 申博官网下载登入 申博游戏苹果手机能玩吗 申博游戏手机版
    77msc申博登入 菲律宾太阳网a99.com www.sbc66.com 申博安卓手机下载登入 申博手机APP版登入 www.msc66.com
    www.183msc.com 申博游戏中心直营网 www.188msc.com 申博开户登入 菲律宾太阳网上娱乐99 申博线路检测中心