Anställda har nu tillgång till ett stort antal applikationer på sina personliga enheter, men det kan skada företagets säkerhet eftersom det är svårt för IT-team att förstå eller kontrollera vart känsliga företagens IP-adresser går och hur man kan uppnå dem.
Hotforskningsteamet vid Wandera har hittat ett antal dokumenthanteringsapplikationer från Cometdocs som inte använder kryptering vid överföring av filer mellan användare och backend-tjänster.
Denna slarviga hantering av data utsätter känsliga dokument för tillfälliga eller avlyssnande nätverksobservatörer och kräver inte användning av sofistikerade man-i-mitt-attacker.
Cometdocs beskriver sin tjänst som ett “dokumenthanteringssystem” som erbjuder filkonvertering, delning, överföring och lagring. Den har för närvarande 29 iOS-applikationer och 31 Android-applikationer publicerade i officiella butiker och påstår sig ha mer än tre miljoner användare enligt sin webbplats.
Cometdocs-applikationen är utformad för att ladda upp filer till servern som används av Cometdocs innan de konverteras och skickas tillbaka till användaren. Filen skickas dock till servern utan kryptering. Detta ger möjlighet för skadliga aktörer att cache och hämta filer. Dessutom kan nätverksavlysslare få åtkomst till filer medan de “sniffar” trafik på samma Wi-Fi-nätverk som användare.
Wandera meddelade Cometdocs om denna fråga tre gånger mellan december 2019 och januari 2020 men har ännu inte fått ett direkt svar.
Du kan se fullständig forskning på Wandera-bloggen.
Bildkredit: Modella / Shutterstock
