Datele a peste 100 de milioane de utilizatori Android ar putea fi expuse hackerilor din cauza unui defect în modul în care dispozitivele gestionează securitatea în cloud, potrivit unui raport publicat joi.
Compania de securitate cibernetică Check Point Research a susținut în studiu că cel puțin 23 de aplicații mobile populare conțin „configurari greșite” ale serviciilor cloud terțe. Compania a spus că dezvoltatorii unora dintre aplicații nu au verificat dacă măsurile de securitate concepute pentru a preveni încălcarea datelor au fost în vigoare atunci când se sincronizează cu serviciile cloud.
„Prin nerespectarea celor mai bune practici la configurarea și integrarea serviciilor cloud terțe în aplicații, au fost expuse datele private ale milioanelor de utilizatori”, au scris cercetătorii.
În unele cazuri, acest tip de utilizare greșită afectează doar utilizatorii, cu toate acestea, dezvoltatorii au fost și ei lăsați vulnerabili. Configurarea greșită pune în pericol datele utilizatorilor și resursele interne ale dezvoltatorului, cum ar fi accesul la mecanismele de actualizare și stocarea. „
Cercetătorii au examinat 23 de aplicații Android, inclusiv o aplicație de taxi, un generator de logo-uri, un înregistrator de ecran, un serviciu de fax și un software de astrologie și au descoperit că au scurs date, inclusiv înregistrări de e-mail, mesaje de chat, informații despre locație, ID-uri de utilizator, parole și imagini.
Experții în securitate cibernetică spun că dezvoltatorii ar fi trebuit să fie conștienți de vulnerabilități.
„Dezvoltatorii tind să creadă că backend-urile mobile sunt ascunse de hackeri”, a declarat Ray Kelly, inginer principal de securitate la firma de securitate cibernetică WhiteHat Security, într-un interviu prin e-mail.
"Motoarele de căutare, cum ar fi Google, nu indexează aceste API-uri, ceea ce dă un fals sentiment de securitate atunci când, de fapt, aceste terminale mobile pot fi la fel de vulnerabile ca orice alt site web."
Prin nerespectarea celor mai bune practici la configurarea și integrarea serviciilor cloud terță parte în aplicații, au fost expuse datele private ale milioanelor de utilizatori.
Dezvoltatorii sunt sub presiune pentru a încorpora rapid noi funcții în software-ul lor, a declarat Stephen Banda, senior manager la firma de securitate cibernetică Lookout, într-un interviu prin e-mail.
„Pentru a implementa codul rapid, organizațiile se bazează pe procese automate de livrare a software-ului pentru a actualiza funcționalitatea, aplică corecții de securitate pentru a menține actualizate aplicațiile cloud”, a adăugat el.
„Mișcarea cu această viteză, chiar și cu bunele practici de gestionare a schimbărilor și cele mai bune practici de securitate, înseamnă că fiecare organizație riscă să introducă configurații greșite în aplicațiile lor cloud.”
