Ribuan Aplikasi Android dan iOS Membocorkan Data Dari Awan


Selama bertahun-tahun, sederhana kesalahan penyiapan telah menjadi sumber utama pemaparan ketika perusahaan menyimpan data di awan. Alih-alih secara hati-hati membatasi siapa yang dapat mengakses informasi yang disimpan di infrastruktur cloud mereka, organisasi terlalu sering salah mengonfigurasi pertahanan mereka. Ini setara digital dengan membiarkan jendela atau pintu terbuka di rumah Anda sebelum pergi liburan panjang. Masalah data bocor itu berlaku lebih dari sekadar layanan web yang biasanya menjadi berita utama. Perusahaan keamanan seluler Zimperium telah menemukan bahwa eksposur ini juga menimbulkan masalah besar untuk aplikasi iOS dan Android.

Zimperium menjalankan analisis otomatis pada lebih dari 1,3 juta aplikasi Android dan iOS untuk mendeteksi kesalahan konfigurasi cloud umum yang mengekspos data. Para peneliti menemukan hampir 84.000 aplikasi Android dan hampir 47.000 aplikasi iOS menggunakan layanan cloud publik — seperti Amazon Web Services, Google Cloud, atau Microsoft Azure — di backend mereka, bukan menjalankan server mereka sendiri. Dari jumlah tersebut, para peneliti menemukan kesalahan konfigurasi pada 14 persen dari total tersebut — 11.877 aplikasi Android dan 6.608 aplikasi iOS — yang mengungkap informasi pribadi, sandi, dan bahkan informasi medis pengguna.

“Ini tren yang mengganggu,” kata Shridhar Mittal, CEO Zimperium. “Banyak dari aplikasi ini memiliki penyimpanan cloud yang tidak dikonfigurasi dengan benar oleh pengembang atau siapa pun yang mengatur dan, karena itu, data dapat dilihat oleh siapa saja. Dan kebanyakan dari kita memiliki beberapa aplikasi ini sekarang. ”

Para peneliti menghubungi beberapa pembuat aplikasi yang mereka temukan dengan eksposur cloud, tetapi mereka mengatakan responsnya minimal dan banyak aplikasi masih memiliki data yang terbuka. Inilah mengapa Zimperium tidak menyebutkan aplikasi yang terpengaruh dalam laporannya. Selain itu, para peneliti tidak dapat memberi tahu puluhan ribu pengembang. Mittal mengatakan, bahwa layanan yang mereka lihat menjalankan keseluruhan dari aplikasi dengan beberapa ribu pengguna hingga yang memiliki beberapa juta. Salah satu aplikasi yang dimaksud adalah dompet seluler dari perusahaan Fortune 500 yang mengungkap beberapa informasi sesi pengguna dan data keuangan. Lainnya adalah aplikasi transportasi dari kota besar yang mengekspos data pembayaran. Para peneliti juga menemukan aplikasi medis dengan hasil tes dan bahkan gambar profil pengguna di tempat terbuka.

Mengingat bahwa Zimperium menemukan hampir 20.000 aplikasi dengan kesalahan konfigurasi cloud, perusahaan tidak mencoba menilai secara individual apakah penyerang telah menemukan dan menyalahgunakan eksposur apa pun. Tapi pintu dan jendela yang terbuka ini akan mudah ditemukan oleh pelaku kejahatan menggunakan informasi publik yang sama yang digunakan Zimperium dalam penelitiannya. Grup peretasan sudah melakukan pemindaian jenis ini untuk menemukan kesalahan konfigurasi cloud di layanan web. Dan Mittal mengatakan bahwa, selain data pengguna yang sensitif, para peneliti juga menemukan kredensial jaringan, file konfigurasi sistem, dan kunci arsitektur server di beberapa penyimpanan aplikasi yang terbuka yang berpotensi digunakan penyerang untuk mendapatkan akses yang lebih dalam ke sistem digital organisasi.

Di atas semua itu, para peneliti menemukan bahwa beberapa kesalahan konfigurasi akan memungkinkan pelaku kejahatan untuk mengubah atau menimpa data, menciptakan potensi tambahan untuk penipuan dan gangguan.

Meskipun penyedia cloud besar seperti AWS telah berupaya untuk secara proaktif mendeteksi kemungkinan kesalahan konfigurasi dan memperingatkan pelanggan tentangnya, hal itu pada akhirnya bergantung pada pengembang dan administrator TI yang memeriksa untuk mengonfirmasi bahwa segala sesuatunya telah diatur sebagaimana mestinya.

“Sangat masuk akal bahwa kesalahan konfigurasi bisa menjadi masalah yang meluas,” kata Will Strafach, peneliti keamanan iOS lama dan pembuat aplikasi Guardian Firewall. “Saya telah melihat keranjang AWS dengan izin yang buruk, dan saya juga melihat beberapa node VPN mengekspos data. Saya telah melihat banyak aplikasi dari perusahaan yang seharusnya lebih tahu yang memiliki masalah keamanan yang mengerikan.”

Diposting oleh : SGP Prize