A csütörtökön kiadott jelentés szerint több mint 100 millió Android-felhasználó adatait tehetik ki hackerek számára az eszközök felhőbiztonsági kezelésének hibája miatt.
A Check Point Research kiberbiztonsági cég azt állította a tanulmányban, hogy legalább 23 népszerű mobilalkalmazás tartalmazza a harmadik féltől származó felhőszolgáltatások "hibás konfigurációját". A vállalat azt mondta, hogy egyes alkalmazások fejlesztői nem ellenőrizték, hogy a felhőszolgáltatásokkal való szinkronizálás során bevezették-e az adatszivárgás megelőzésére szolgáló biztonsági intézkedéseket.
„A harmadik féltől származó felhőszolgáltatások alkalmazásokba történő konfigurálása és integrálása során nem követve a bevált gyakorlatokat, felhasználók millióinak privát adatai kerültek nyilvánosságra” – írták a kutatók.
"Bizonyos esetekben ez a fajta visszaélés csak a felhasználókat érinti, azonban a fejlesztők is sebezhetőek maradtak. A hibás konfiguráció veszélyezteti a felhasználók adatait és a fejlesztő belső erőforrásait, például a frissítési mechanizmusokhoz és a tárhelyhez való hozzáférést."
A kutatók 23 Android-alkalmazást vizsgáltak meg, köztük taxi-alkalmazást, logókészítőt, képernyőrögzítőt, faxszolgáltatást és asztrológiai szoftvert, és megállapították, hogy adatok szivárogtak ki, beleértve az e-mail-rekordokat, csevegőüzeneteket, helyadatokat, felhasználói azonosítókat, jelszavakat és képeket.
Kiberbiztonsági szakértők szerint a fejlesztőknek tisztában kellett volna lenniük a biztonsági résekkel.
"A fejlesztők hajlamosak azt gondolni, hogy a mobil háttérrendszerek rejtve vannak a hackerek elől" - mondta Ray Kelly, a WhiteHat Security kiberbiztonsági cég vezető biztonsági mérnöke egy e-mailes interjúban.
"A keresőmotorok, például a Google, nem indexelik ezeket az API-kat, ami hamis biztonságérzetet kelt, miközben valójában ezek a mobil végpontok ugyanolyan sérülékenyek lehetnek, mint bármely más webhely."
A harmadik féltől származó felhőszolgáltatások alkalmazásokba történő konfigurálása és integrálása során nem követve a bevált módszereket, felhasználók millióinak privát adatai kerültek nyilvánosságra.
A fejlesztőkre nyomás nehezedik, hogy gyorsan új funkciókat építsenek be szoftvereikbe – mondta Stephen Banda, a Lookout kiberbiztonsági cég vezető menedzsere egy e-mailes interjúban.
"A kód gyors üzembe helyezéséhez a szervezetek automatizált szoftverszállítási folyamatokra támaszkodnak a funkcionalitás frissítése, a biztonsági javítások alkalmazása a felhőalkalmazások naprakészen tartása érdekében" - tette hozzá.
"Ha ilyen sebességgel halad, még a helyes változáskezelés és a biztonsági bevált gyakorlatok mellett is, minden szervezet fennáll annak a veszélye, hogy hibás konfigurációkat vezetnek be felhőalkalmazásaiba."
