Ratusan aplikasi iOS membocorkan data karena salah konfigurasi…
Menurut laporan baru dari perusahaan keamanan aplikasi seluler Appthority, yang disebut Laporan Ancaman Seluler Perusahaan Q2 2018, masalah ini disebabkan oleh varian baru dari apa yang dikenal sebagai “kerentanan HospitalGown.” “. HospitalGown, dinamai dengan berani karena berurusan dengan data “bocor melalui penyimpanan data backend,” pertama kali diidentifikasi oleh Tim Ancaman Seluler Appthority pada tahun 2017.
Saat ini, Appthority melaporkan bahwa masalah terjadi ketika pengembang aplikasi memilih untuk tidak memerlukan otentikasi untuk database cloud Google Firebase, yang tidak dilakukan secara default saat pengembang Menggunakan alat pengembangan populer.
Appthority menemukan bahwa 1.275 aplikasi iOS menggunakan database Firebase, 600 aplikasi rentan. Secara keseluruhan, lebih dari 3000 aplikasi membocorkan data dari 2.271 database yang salah konfigurasi. Dan di antara data yang bocor adalah 2,6 juta kata sandi dan ID pengguna teks biasa, lebih dari 4 juta catatan Informasi Kesehatan yang Dilindungi, dan 50.000 catatan keuangan.
“Untuk mengamankan data dengan benar, pengembang perlu secara khusus menerapkan otentikasi pengguna di semua tabel dan baris database, yang jarang terjadi dalam praktiknya,” tulis Appthority dalam laporan tersebut. “Selain itu, penyerang membutuhkan sedikit usaha untuk menemukan database aplikasi Firebase yang terbuka dan mendapatkan akses ke jutaan catatan aplikasi data seluler pribadi.
Seperti yang dicatat oleh Bleeping Computer, yang melaporkan temuan minggu lalu, Firebase adalah produk Google yang berisi alat backend untuk membuat aplikasi seluler. Digunakan oleh banyak pengembang Android, beberapa aplikasi iOS juga mengandalkan layanan ini untuk penyimpanan dan analisis data. App Calculator mengevaluasi 2,7 juta aplikasi iOS dan Android untuk mengidentifikasi 28.502 aplikasi seluler — 27.227 Android dan 1.275 iOS — yang menyimpan data di backend Firebase.
Appthority juga menemukan bahwa seiring dengan meningkatnya penggunaan Firebase, begitu pula jumlah aplikasi yang rentan. Pada tahun 2017, dari 53.010 aplikasi yang menggunakan Firebase DB, 4.578 (9 persen), rentan.
Appthority merekomendasikan agar pengembang melindungi data mereka secara lebih efektif.
Appthority menulis dalam laporannya: “Anda perlu melakukan penilaian keamanan menyeluruh terhadap aplikasi pihak ketiga internal, aplikasi yang dikembangkan sendiri, dan aplikasi yang tersedia untuk publisitas. Kinerja karyawan,” tulis Appthority dalam laporannya. “Anda mungkin merasa sulit untuk mengekspos data yang terpapar oleh ancaman ini di aplikasi publik dan perusahaan yang diterbitkan oleh EMM tanpa solusi MTD otomatis yang berfokus pada ancaman aplikasi. aplikasi dan kerentanan backend, seperti Appthority Mobile Threat Protection.”
Google telah diberitahu tentang masalah ini dan memberikan daftar aplikasi dan server yang terpengaruh.
Sumber: appleinsider
