近日，Check Point研究人員發(fā)現(xiàn)：過去幾個月，共有23個APP的手機應用開發(fā)者在配置和融入第三方云服務時，沒有遵循最佳實踐導致開發(fā)者內(nèi)部資源數(shù)據(jù)和用戶個人數(shù)據(jù)處于危險中。大多數(shù)APP下載量超過1000萬，累計有超過1億用戶數(shù)據(jù)泄露，包括郵件地址、密碼、隱私會話、設備位置、用戶id等敏感信息。

實時數(shù)據(jù)庫可以讓應用開發(fā)者在云端保存數(shù)據(jù)，確保與每個連接的客戶端實時同步。該服務可以解決應用開發(fā)過程中的許多問題，確保數(shù)據(jù)庫支持所有的客戶端平臺。但研究人員發(fā)現(xiàn)許多應用開發(fā)者并沒有配置實時數(shù)據(jù)庫的基本功能——認證。

研究人員發(fā)現(xiàn)，從這些開放的數(shù)據(jù)庫中可以恢復出郵件地址、密碼、隱私會話、設備位置、用戶id等敏感信息。如果惡意攻擊者獲得了這些數(shù)據(jù)的訪問權限，就可能引發(fā)欺詐、身份竊取等惡意行為。

云服務是開發(fā)者或安裝的應用用來分享文件的一種很好的解決方案。比如，兩個APP可以通過云服務共享截圖信息。但如果開發(fā)者將密鑰和訪問密鑰嵌入到服務中，那么通過云服務共享數(shù)據(jù)也可能會引發(fā)風險。研究人員分析發(fā)現(xiàn)，通過應用的文件，可以恢復出授予云服務文件訪問權限的密鑰。

許多開發(fā)者也知道在應用中存儲云服務秘鑰是不安全的。研究人員分析多個APP發(fā)現(xiàn)，許多開發(fā)者嘗試通過一些方法來進行補救，但是并沒有修復密鑰存儲的問題。比如，Jadx應用用base64編碼來隱藏密鑰，但是base64解碼非常容易，此外甚至不需要解碼，只需要復制base64編碼的秘鑰就可以訪問對應的內(nèi)容。

新網(wǎng)云數(shù)據(jù)庫通過IP白名單授權機制，嚴格管控訪問源。支持通過VPC來獲取更高程度的網(wǎng)絡訪問控制，為企業(yè)的業(yè)務數(shù)據(jù)提升安全性，豐富的運維功能，大幅降低運維成本 通過數(shù)據(jù)庫運行狀態(tài)一目了然，按需定制監(jiān)控策略，讓企業(yè)更專注業(yè)務發(fā)展。支持主備切換，故障秒級恢復。緊隨業(yè)務發(fā)展，盡情享受云計算所帶來的靈活體驗：http://www.xinnet.com/cs/rds.html