Podaci više od 100 milijuna korisnika Androida mogli bi biti izloženi hakerima zbog greške u načinu na koji uređaji upravljaju sigurnošću oblaka, prema izvješću objavljenom u četvrtak.
Tvrtka za kibernetičku sigurnost Check Point Research tvrdila je u studiji da najmanje 23 popularne mobilne aplikacije sadrže "pogrešne konfiguracije" usluga u oblaku trećih strana. Tvrtka je rekla da programeri nekih aplikacija nisu provjerili jesu li sigurnosne mjere osmišljene za sprječavanje povrede podataka na snazi prilikom sinkronizacije s uslugama u oblaku.
"Nepridržavanjem najboljih praksi pri konfiguriranju i integraciji usluga u oblaku treće strane u aplikacije, privatni podaci milijuna korisnika bili su izloženi", napisali su istraživači.
"U nekim slučajevima, ova vrsta zlouporabe utječe samo na korisnike, međutim, programeri su također ostali ranjivi. Pogrešna konfiguracija dovodi podatke korisnika i interne resurse programera, kao što je pristup mehanizmima ažuriranja i pohranu u opasnost."
Istraživači su ispitali 23 Android aplikacije, uključujući aplikaciju za taksi, izradu logotipa, snimač zaslona, uslugu faksa i astrološki softver, i otkrili da cure podaci, uključujući zapise e-pošte, chat poruke, podatke o lokaciji, korisničke ID-ove, lozinke i slike.
Stručnjaci za kibernetičku sigurnost kažu da su programeri trebali biti svjesni ranjivosti.
"Programeri obično misle da su mobilne pozadine skrivene od hakera", rekao je Ray Kelly, glavni sigurnosni inženjer u tvrtki za kibernetičku sigurnost WhiteHat Security, u intervjuu e-poštom.
"Tražilice, kao što je Google, ne indeksiraju ove API-je, što daje lažan osjećaj sigurnosti kada, zapravo, te mobilne krajnje točke mogu biti jednako ranjive kao i bilo koje drugo web mjesto."
Nepridržavanjem najboljih praksi pri konfiguriranju i integraciji usluga u oblaku trećih strana u aplikacije, privatni podaci milijuna korisnika bili su izloženi.
Programeri su pod pritiskom da brzo ugrade nove značajke u svoj softver, rekao je Stephen Banda, viši menadžer tvrtke za kibernetičku sigurnost Lookout, u intervjuu e-poštom.
"Za brzu implementaciju koda, organizacije se oslanjaju na automatizirane procese isporuke softvera za nadogradnju funkcionalnosti, primjenu sigurnosnih zakrpa kako bi aplikacije u oblaku bile ažurne, " dodao je.
"Kretanje ovom brzinom, čak i uz ispravno upravljanje promjenama i najbolju sigurnosnu praksu, znači da se svaka organizacija izlaže riziku unošenja pogrešnih konfiguracija u svoje aplikacije u oblaku."
