Az Appthority biztonsági cég tegnap kiadott jelentésében felfedik, hogy egy olyan sebezhetőségre találtak rá, amely lehetővé teszi, hogy egy támadó egy mobilalkalmazáson keresztül hozzáférhessen a vállalati adatbázisokhoz. A riport szerint a HospitalGown néven emlegetett rést több mint ezer alkalmazásban dokumentálták, 39 alkalmazás részletes vizsgálata azt mutatta meg, hogy óriási mennyiségű, mintegy 280 millió adatrekordhoz fértek hozzá – összességében a kutatók 43 terabájtnyi elérhető adatot találtak.
Mint felhívják rá a figyelmet, biztonsági szempontból itt komoly újdonságról van szó. Az adatvédelem a mobilalkalmazásoknál általában három fő területre fókuszál: biztonságosnak kell lennie az alkalmazásnak magának, a kódnak, védeni kell a mobileszközt, illetve fel kell készülni a hálózati fenyegetésekre, vagyis amikor az eszköz kommunikál a felhőben, hogy akkor ne tudják megszerezni az információkat.
Hirdetés
Ám van egy szegmens, amire eddig nem nagyon vetült fény, mégpedig a háttérben meghúzódó adattároló szerverek, vagyis az, hogy a kommunikáció folyamán az alkalmazások és a szerverek kapcsolata mennyire biztonságos. A kutatók szerint a HospitalGown sérülékenység épp itt tapasztalható: az alkalmazás kódja biztonságos, az eszköz is védett, a hálózati forgalom is, ám mivel a backend szerverekhez a hozzáférés gyengén védett, az autentikációs hiányosságoknak köszönhetően az alkalmazások könnyedén hozzáférnek adattömegekhez.
[+]
Az Appthority szakemberei több mint egymillió esetben vállalati iOS-es és androidos alkalmazások hálózati forgalmát elemezték, és több mint 21 ezer „nyitott”, kellően nem védett szervert találtak. A résnek köszönhetően az alkalmazásokon keresztül hozzáférhetőek a vállalatok dolgozóinak személyes adatai, például jelszavak, tartózkodási helyek, utazási és fizetési részletek, a vállalati VPN-ekben használt PIN-kódok, e-mailek, telefonszámok, forgalmi adatok stb. Egyes esetekben azt is felfedezték, hogy illetéktelenek már rájöttek erre, és megszereztek vállalati adatokat.
Seth Hardy, az Appthority igazgatója közleményében hangsúlyozza, hogy a HospitalGown nem csak elméleti lehetőség, hanem valós kockázat, és a vállalkozások többségének az általuk ismertetett szemszögből is felül kell vizsgálnia adattárolási metódusát.
