Podle čtvrteční zprávy mohou být data více než 100 milionů uživatelů Androidu vystavena hackerům kvůli chybě ve způsobu, jakým zařízení zvládají cloudové zabezpečení.
Firma pro kybernetickou bezpečnost Check Point Research ve studii tvrdila, že nejméně 23 oblíbených mobilních aplikací obsahuje „nesprávné konfigurace“cloudových služeb třetích stran. Společnost uvedla, že vývojáři některých aplikací nezkontrolovali, zda jsou při synchronizaci s cloudovými službami zavedena bezpečnostní opatření navržená k zabránění narušení dat.
„Nedodržováním osvědčených postupů při konfiguraci a integraci cloudových služeb třetích stran do aplikací byla odhalena soukromá data milionů uživatelů,“napsali vědci.
"V některých případech se tento typ zneužití týká pouze uživatelů, ale vývojáři byli také zranitelní. Špatná konfigurace ohrožuje data uživatelů a interní zdroje vývojáře, jako je přístup k aktualizačním mechanismům a úložišti."
Výzkumníci prozkoumali 23 aplikací pro Android, včetně aplikace pro taxi, výrobce log, záznamníku obrazovky, faxové služby a astrologického softwaru, a zjistili, že unikla data, včetně e-mailových záznamů, chatových zpráv, informací o poloze, ID uživatelů, hesla a obrázky.
Odborníci na kybernetickou bezpečnost tvrdí, že vývojáři si měli být vědomi zranitelnosti.
„Vývojáři mají tendenci si myslet, že mobilní backendy jsou před hackery skryty,“řekl v e-mailovém rozhovoru Ray Kelly, hlavní bezpečnostní inženýr společnosti WhiteHat Security, zabývající se kybernetickou bezpečností.
"Vyhledávače, jako je Google, tato rozhraní API neindexují, což dává falešný pocit bezpečí, i když ve skutečnosti mohou být tyto mobilní koncové body stejně zranitelné jako jakékoli jiné webové stránky."
Nedodržováním osvědčených postupů při konfiguraci a integraci cloudových služeb třetích stran do aplikací byla odhalena soukromá data milionů uživatelů.
Vývojáři jsou pod tlakem, aby rychle začlenili nové funkce do svého softwaru, řekl v e-mailovém rozhovoru Stephen Banda, senior manažer společnosti Lookout zabývající se kybernetickou bezpečností.
„Pro rychlé nasazení kódu se organizace spoléhají na procesy automatizovaného dodávání softwaru při upgradu funkčnosti, použití bezpečnostních záplat, aby byly cloudové aplikace aktuální,“dodal.
„Pohyb touto rychlostí, i když jsou zavedeny osvědčené postupy pro správu změn a zabezpečení, znamená, že každá organizace riskuje, že do svých cloudových aplikací zavede nesprávnou konfiguraci.“
