研究：使用云端储存的行动程式中，有14%因开发者配置错误而曝露用户资料或架构资讯

资安业者Zimperium分析了使用云端储存的逾130万种Android与iOS程式，发现其中有14%采用了不安全的配置，而造成用户资料外泄或配置/服务器资讯的曝光，让骇客得以展开诈骗、窜改资料，甚至是接管系统。

此一研究锁定了热门的4款云端储存服务，包括AWS S3、Google Storage、Microsoft Azure与Google Firebase，这些服务主要是用来储存行动程式的资料，或允许行动程式即时查询资料。

研究人员发现，就算云端服务业者已提供了各种的安全配置与详细建议，却经常被开发者忽略。配置错误的后果可能会造成使用者的个资外泄，包括档案照片、地址或金融资讯，或者是医疗纪录等；还有些外泄了行动程式的配置资讯，像是云端基础设施的规划、安装档案，甚至是支付Kiosk的密码。前者可能让使用者沦为诈骗或网钓的受害者，后者更让骇客有机会接管开发者的后端架构。

根据统计，在这些采用不安全配置的行动程式中，有17.6%属于商用程式，另外工具程式、社交程式、生活类型程式以及购物程式这四者的占有比例相同，都是8.8%。

对于因不当配置而外泄资料的案例中，有几款医疗程式外泄了使用者的档案照片、详细资料与测试结果；还有一些社交程式外泄了使用者的个资；一款大型游戏程式和一款健身程式外泄了开发者的服务器配置资讯；另有一个位于财星五百大的行动钱包，曝露了期间与支付资讯；城市交通程式曝露了支付系统的存取路径；甚至有一款赌博程式外泄使用者的个资及登入凭证；另有一款亚洲国家的旅游程式不仅曝露纪录，也没有密码保护，轻易就能被窜改。

用户个资的外泄可能造成诈骗或网钓攻击，而包括服务器、快取与数据库等程式所使用的后端资源的曝光，更可能危害整个基础设施。Zimperium并未公布这些采用不当云端配置的程式名称，仅建议它们：最简单的保全之道就是，确保其云端储存或数据库无法在没有任何安全措施的情况下被外界存取。