کارو تک کاروتک
تکنولوژی و علمی
تلویزیون و سینما
تلویزیون کاروتک
دانلود اپلیکیشن اندروید

هزاران پایگاه داده ابری اپلیکیشن موبایل به‌صورت آنلاین در معرض نمایش قرار گرفته‌اند

هزاران پایگاه داده ابری اپلیکیشن موبایل به‌صورت آنلاین در معرض نمایش قرار گرفته‌اند
نوشته TinaAfshar ۲۵ اسفند ۱۴۰۰, ۱۰:۴۷ اخبار
زمان مطالعه 5 دقیقه

با فاش شدن پایگاه‌های داده‌ی نا‌امن، نه‌تنها مصرف‌کنندگان بلکه کسب‌وکارها نیز در خطری بزرگ قرار می‌گیرند؛ اما علت این موضوع چیست و چه‌قدر جدی است؟

باوجود خطراتی که برای افشای داده‌های شرکت و حتی داده‌های کاربران وجود دارد، کسب‌وکارهای زیادی هستند که هم‌چنان به این موضوع هیچ اهمیتی نمی‌دهند و پایگاه‌ داده‌های ابری خود را به‌صورت آنلاین در شرایط ناامن باقی می‌گذارند.

پس از مطالعه‌ای سه ماهه، تحقیقات Check Point نشان دادند که 2113 برنامه‌ی کاربردی برای تلفن‌های همراه پیدا شده است که پایگاه‌‌های داده‌های آن‌ها در فضای ابری محافظت نشده بودند. این بدان معناست که هرکسی با هر مرورگری می‌تواند به‌راحتی به این پایگاه‌های داده‌ دسترسی داشته باشد.

برنامه‌های تلفن همراهی که پایگاه‌های اطلاعاتی آشکار داشتند، از برنامه‌هایی با بیش از 10 هزار بار دانلود داشتند، تا برنامه‌هایی بسیار محبوب که بیش از 10 میلیون بار بارگیری شده بودند را شامل می‌شود و میان این موارد متغیر بودند. این تحقیقات طیف گسترده‌ای از داده‌های حساس را از برنامه‌های مورد نظر از‌جمله پیام‌های چت، عکس‌های شخصی، شماره‌های مخاطبین، ایمیل، نام کاربری، رمز عبور و بسیاری از موراد دیگر را پیدا کرده است.

لوتم فینکلستین، رئیس اطلاعات و تحقیقات در نرم‌افزار Check Point، توضیحاتی در مورد این‌که چگونه محققان امنیتی این شرکت به‌‌آسانی توانسته‌‌اند پایگاه‌های اطلاعاتی افشا شده را تنها با استفاده از ابزار‌ی آنلاین و رایگان به‌نام VirusTotal پیدا کنند. وی در ادامه گفت:

ما در این تحقیقات نشان می‌دهیم که مکان‌یابی مجموعه‌های داده و منابع حیاتی که در فضای ابری آزاد و باز هستند، نه‌‌تنها می‌تواند به‌راحتی برای هرکسی که مرورگر دارد قابل دسترس باشد، بلکه اتفاقا بسیار هم کار آسانی است. ما روشی ساده را به‌اشتراک می‌گذاریم تا نشان دهیم که چگونه هکرها می‌توانند این‌کار را انجام دهند. این روش، تنها نیاز به جستجو در مخازن فایل‌های عمومی همانند برنامه‌ی ‌VirusTotal، برای اپلیکیشن‌های موبایلی است که از خدمات ابری استفاده می‌کنند. هر هکری می‌تواند از VirusTotal جهت بافتن مسیری کامل به پشتیبانی ابری تلفن‌ همراه هوشمند، استفاده کند و هر اطلاعاتی که می‌خواهد را بیابد. ما نیز چند مورد از اطلاعاتی که می‌توانیم در آن پیدا کنیم را به‌اشتراک می‌گذاریم. هر اطلاعاتی که پیدا می‌شود، برای همه‌ی کاربران در دسترس هستند. درنهایت،‌ هدف ما این بود تا با این تحقیقات ثابت کنیم که سوءاستفاده از اطلاعات چه‌قدر می‌تواند کار آسانی باشد. حجم‌ داده‌هایی که در معرض دید و به‌صورت آشکار قرار می‌گیرند، برای هرکسی که در فضای ابری حضور داشته باشد در دسترس است،‌ که خب، قطعاََ دیوانه‌کننده است! نقض کردن آن هم، بسیار ساده‌تر از چیزی است که ما تصورش را داریم.

برنامه‌های تلفن همراه با پایگاه داده‌ی در معرض نمایش

در پست وبلاگی جدید، این سازمان تحقیقاتی، چندین نمونه از مطالعات خود را بدون این‌که نام برنامه‌های تلفن‌همراه را ذکر کنند ارائه داده‌اند. این برنامه‌ها شامل برنامه‌هایی هستند که پایگاه داده‌های ابری خود را به‌صورت آنلاین، در شرایط ناامن رها کرده‌اند.

اولین برنامه برای فروشگاه بزرگ زنجیره‌ای در آمریکای جنوبی است و بیش از 10 میلیون بار دانلود شده است! با جستجو کردن VirusTotal۷ این سازمان توانسته است اعتبار دروازه‌ی اصلی API و کلید API آن را پیدا کند. بدتر از آن، این اعتبارنامه‌ها به‌صورت متن‌های ساده‌ای بودند که هرکسی می‌توانست آن‌ها را بخواند و از آن‌ها برای دسترسی به حساب‌های مشتریان فروشگاه‌های بزرگ استفاده کند که به معنای واقعی، فاجعه است.

برنامه‌ی بعدی، برنامه‌ای ردیاب و در جال اجرا است که جهت ردیابی و تجزیه و تحلیل عملکرد دوندگان طراحی شده است. این برنامه بیش از 100 هزار بار دانلود شده است. پایگاه‌ داده‌ی این برنامه شامل مختصات دقیق GPS کاربران و سایر مشخصاتی که مربوط به سلامتی افراد می‌شود، همانند ضربان قلب آن‌ها بود. با به‌دست آوردن این اطلاعات که اتفاقاََ بسیار هم کار آسانی است، مهاجمان می‌توانند به آسانی از اطلاعات کاربر مورد نظر سوءاستفاده کنند و نقشه‌هایی را برای ردیابی کردن مکانی که کاربر از آن می‌‌گذرد، ایجاد کنند.

در مراحل بعدی، این تحقیقات برنامه‌ی دوست‌یابی حدید را نشان دادند که برای افرادی که دچار معلولیت هستند، مورد استقاده قرار می‌گیرد. در پایگاه داده‌ی این برنامه، حدود 50 هزار پیام از چت‌‌های خصوصی افراد به‌همراه تصاویر فرستاده شد. همچنین، برنامه‌ی دیگری که آن‌ها موفق شدند آن‌ها را پیدا کنند مربوط به برنامه‌ای کاربردی و مربوط به ساختن لوگو بود که این برنامه نیز بیش از 10 میلیون بار دانلود شده بود. داخل پایگاه داده‌ی این برنامه، حدود 130 هزار نام کاربری، ایمیل و حتی رمز عبور وجود داشت.

البته، این موراد همه‌ی بخشی که از این تحقیقات به‌دست آمد نبود، گویا علاوه‌بر این موارد، پایگاه‌ داده‌های ناامن PDFای محبوب و برنامه‌ای حساب‌داری نیز یافت شده است.

همان‌طور که کارشناسان امنیتی این نکته را توصیه می‌کنند، بهتر است تا همواره مصرف کنندگان از تلفن‌های هوشمند، تبلت‌ها و لپ‌تاپ‌های خود با گذرواژه‌های بسیار قوی و پیچیده محافظت کنند. همچنین، کسب‌‌وکارهایی که از پایگاه‌های اطلاعاتی ابری برای ذخیره کردن داده‌های برنامه‌های تلفن‌ همراه خود استفاده می‌‌کنند نیز باید از خود محافظت کنند.

منابع نوشته
TechRadar
مطالب مرتبط
شیائومی ردمی نوت 12 پرو اسپید ادیشن معرفی شد
شیائومی ردمی نوت 12 پرو اسپید ادیشن معرفی شد
شیائومی از سری گوشی‌های ردمی K60 رونمایی کرد
شیائومی از سری گوشی‌های ردمی K60 رونمایی کرد
مشخصات کلیدی ویوو ایکس فولد 2 فاش شد
مشخصات کلیدی ویوو ایکس فولد 2 فاش شد
آنر 80 GT با اسنپدراگون 8 پلاس نسل 1 از راه رسید
آنر 80 GT با اسنپدراگون 8 پلاس نسل 1 از راه رسید
در بحث شرکت کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    کپی‌رایت ۱۳۹۱-۱۴۰۱ . تمامی حقوق برای نویسندگان محفوظ است.

    انتشار متن مطالب کاروتک در نشریات کاغذی یا رسانه‌های دیجیتال٬ بدون کسب اجازه از مدیر سایت ممنوع است.

    کارو
    مدرسه کارو