Po četrtkovem poročilu so podatki več kot 100 milijonov uporabnikov Androida lahko izpostavljeni hekerjem zaradi napake v načinu, kako naprave obravnavajo varnost v oblaku.
Podjetje za kibernetsko varnost Check Point Research je v študiji trdilo, da vsaj 23 priljubljenih mobilnih aplikacij vsebuje "napačne konfiguracije" storitev v oblaku tretjih oseb. Družba je povedala, da razvijalci nekaterih aplikacij niso preverili, ali so pri sinhronizaciji s storitvami v oblaku vzpostavljeni varnostni ukrepi, namenjeni preprečevanju vdorov podatkov.
»Z neupoštevanjem najboljših praks pri konfiguriranju in integraciji storitev v oblaku tretjih oseb v aplikacije so bili razkriti milijoni zasebnih podatkov uporabnikov,« so zapisali raziskovalci.
"V nekaterih primerih ta vrsta zlorabe vpliva samo na uporabnike, vendar pa so bili ranljivi tudi razvijalci. Napačna konfiguracija ogroža uporabniške podatke in notranje vire razvijalca, kot je dostop do mehanizmov za posodabljanje in shranjevanje."
Raziskovalci so preučili 23 aplikacij za Android, vključno z aplikacijo za taksi, izdelovalcem logotipov, snemalnikom zaslona, storitvijo faksa in astrološko programsko opremo, ter ugotovili, da oddajajo podatke, vključno z zapisi e-pošte, sporočili v klepetu, informacijami o lokaciji, ID-ji uporabnikov, gesla in slike.
Strokovnjaki za kibernetsko varnost pravijo, da bi se razvijalci morali zavedati ranljivosti.
»Razvijalci ponavadi mislijo, da so mobilna zaledja skrita pred hekerji,« je v intervjuju po elektronski pošti dejal Ray Kelly, glavni varnostni inženir pri podjetju za kibernetsko varnost WhiteHat Security.
"Iskalniki, kot je Google, ne indeksirajo teh API-jev, kar daje lažen občutek varnosti, čeprav so te mobilne končne točke dejansko lahko enako ranljive kot katera koli druga spletna stran."
Ker niste upoštevali najboljših praks pri konfiguriranju in integraciji storitev v oblaku tretjih oseb v aplikacije, so bili razkriti milijoni zasebnih podatkov uporabnikov.
Razvijalci so pod pritiskom, da morajo hitro vključiti nove funkcije v svojo programsko opremo, je v intervjuju po e-pošti dejal Stephen Banda, višji vodja podjetja za kibernetsko varnost Lookout.
"Za hitro uvedbo kode se organizacije zanašajo na avtomatizirane postopke dostave programske opreme za nadgradnjo funkcionalnosti, uporabo varnostnih popravkov za posodabljanje aplikacij v oblaku," je dodal.
"Premikanje s tako hitrostjo, tudi z ustreznim upravljanjem sprememb in najboljšimi varnostnimi praksami, pomeni, da vsaka organizacija tvega vnos napačnih konfiguracij v svoje aplikacije v oblaku."
