Z raportu opublikowanego w czwartek wynika, że dane ponad 100 milionów użytkowników Androida mogą być narażone na ataki hakerów z powodu wadliwego sposobu, w jaki urządzenia obsługują zabezpieczenia w chmurze.
Firma Check Point Research zajmująca się cyberbezpieczeństwem stwierdziła w badaniu, że co najmniej 23 popularne aplikacje mobilne zawierają „błędne konfiguracje” usług chmurowych innych firm. Firma poinformowała, że twórcy niektórych aplikacji nie sprawdzili, czy podczas synchronizacji z usługami w chmurze zastosowano środki bezpieczeństwa mające na celu zapobieganie naruszeniom danych.
„Niestosując się do najlepszych praktyk podczas konfigurowania i integrowania usług chmurowych innych firm z aplikacjami, miliony prywatnych danych użytkowników zostały ujawnione” – napisali badacze.
W niektórych przypadkach ten rodzaj nadużycia wpływa tylko na użytkowników, jednak programiści również byli narażeni. Błędna konfiguracja naraża dane użytkowników i wewnętrzne zasoby programisty, takie jak dostęp do mechanizmów aktualizacji i pamięci. „
Naukowcy zbadali 23 aplikacje na Androida, w tym aplikację taksówkarską, narzędzie do tworzenia logo, rejestrator ekranu, usługę faksu i oprogramowanie astrologiczne, i stwierdzili, że wyciekły dane, w tym zapisy wiadomości e-mail, wiadomości na czacie, informacje o lokalizacji, identyfikatory użytkowników, hasła i obrazy.
Eksperci ds. cyberbezpieczeństwa twierdzą, że programiści powinni byli być świadomi luk.
„Deweloperzy mają tendencję do myślenia, że backendy mobilne są ukryte przed hakerami” – powiedział Ray Kelly, główny inżynier ds. bezpieczeństwa w firmie zajmującej się cyberbezpieczeństwem WhiteHat Security, w wywiadzie e-mailowym.
"Wyszukiwarki, takie jak Google, nie indeksują tych interfejsów API, co daje fałszywe poczucie bezpieczeństwa, podczas gdy w rzeczywistości te mobilne punkty końcowe mogą być tak samo wrażliwe jak każda inna witryna."
Niestosowanie się do najlepszych praktyk podczas konfigurowania i integrowania usług chmurowych innych firm z aplikacjami spowodowało ujawnienie milionów prywatnych danych użytkowników.
Programiści są pod presją szybkiego wprowadzania nowych funkcji do swojego oprogramowania, powiedział Stephen Banda, starszy menedżer w firmie Lookout zajmującej się cyberbezpieczeństwem, w wywiadzie e-mailowym.
„Aby szybko wdrożyć kod, organizacje polegają na zautomatyzowanych procesach dostarczania oprogramowania w celu uaktualniania funkcjonalności, stosowania poprawek bezpieczeństwa, aby zapewnić aktualność aplikacji w chmurze” – dodał.
"Poruszanie się z tą prędkością, nawet przy solidnym zarządzaniu zmianami i stosowaniu najlepszych praktyk w zakresie bezpieczeństwa, oznacza, że każda organizacja jest narażona na ryzyko wprowadzenia błędnych konfiguracji w swoich aplikacjach chmurowych."
