現今有許多網路資料儲存在雲端伺服器當中,而手機資安公司Zimperium進行相關調查,發現上萬個AndroidiOS應用程式都未採取適當防護,使得用戶個資被暴露在外,安全措施出現漏洞讓駭客有機可乘。

Zimperium130萬款AndroidiOS的應用程式當中進行自動分析,發現有超過10萬個APP使用公開的雲端服務,如亞馬遜的AWSGoogle雲端或是微軟的Azure。其中,11,877Android6,608iOS的應用程式出現不安全的組態設定(Security Misconfiguration),使得用戶的個人資料被完全公開。

Zimperium並沒有一一細數哪些應用程式有問題,不過一家曾入選美國《財富》雜誌前500強公司的手機錢包軟體就出現類似的漏洞,導致部分用戶的財物數據都被暴露在外。其他包括交通相關的APP公開用戶的付款資訊,還有醫療相關的APP公開用戶的大頭貼以及檢驗數據。

除了用戶的敏感資料以外,研究員還發現了一些儲存在雲端的網路憑證、系統配置文件以及伺服器架構金鑰。如果這些工具被駭客取得,他們能夠入侵到組織系統當中,發動更深層的網路攻擊。

Zimperium表示,研究員已經向許多APP的開發者提出相關疑慮,不過他們僅得到少數人的回應,許多APP仍將個人數據公開在外,而這些問題不只存在於小型的開發者而已,還有很多用戶多達數百萬人的APP也有類似情形。