Podaci preko 100 miliona korisnika Androida mogli bi biti izloženi hakerima zbog greške u načinu na koji uređaji upravljaju sigurnošću u oblaku, prema izvještaju objavljenom u četvrtak.
Firma za sajber sigurnost Check Point Research tvrdi u studiji da najmanje 23 popularne mobilne aplikacije sadrže "pogrešne konfiguracije" usluga u oblaku trećih strana. Kompanija je rekla da programeri nekih aplikacija nisu provjerili jesu li sigurnosne mjere osmišljene za sprječavanje kršenja podataka na snazi prilikom sinhronizacije s uslugama u oblaku.
"Nepridržavanjem najboljih praksi prilikom konfigurisanja i integracije usluga u oblaku trećih strana u aplikacije, razotkriveni su milioni privatnih podataka korisnika", napisali su istraživači..
"U nekim slučajevima, ova vrsta zloupotrebe utiče samo na korisnike, međutim, programeri su takođe ostali ranjivi. Pogrešna konfiguracija dovodi u opasnost podatke korisnika i interne resurse programera, kao što su pristup mehanizmima za ažuriranje i skladištenje."
Istraživači su ispitali 23 Android aplikacije, uključujući taksi aplikaciju, kreator logotipa, snimač ekrana, uslugu faksa i astrološki softver, i otkrili da su procurile podatke, uključujući zapise e-pošte, poruke za chat, informacije o lokaciji, korisničke ID-ove, lozinke i slike.
Stručnjaci za kibernetičku sigurnost kažu da su programeri trebali biti svjesni ranjivosti.
"Programeri imaju tendenciju da misle da su mobilni backendovi skriveni od hakera", rekao je Ray Kelly, glavni sigurnosni inženjer u firmi za kibernetičku sigurnost WhiteHat Security, u intervjuu e-poštom.
"Pretraživači, kao što je Google, ne indeksiraju ove API-je, što daje lažan osjećaj sigurnosti kada, u stvari, ove mobilne krajnje tačke mogu biti jednako ranjive kao i bilo koja druga web stranica."
Nepridržavanjem najboljih praksi prilikom konfiguriranja i integracije usluga oblaka treće strane u aplikacije, razotkriveni su milioni privatnih podataka korisnika.
Programeri su pod pritiskom da brzo ugrade nove funkcije u svoj softver, rekao je Stephen Banda, viši menadžer u firmi za kibernetičku sigurnost Lookout, u intervjuu e-poštom.
"Za brzo implementiranje koda, organizacije se oslanjaju na automatizirane procese isporuke softvera za nadogradnju funkcionalnosti, primjenjuju sigurnosne zakrpe kako bi aplikacije u oblaku bile ažurne", dodao je.
"Kretanje ovom brzinom, čak i uz dobro upravljanje promjenama i najbolju sigurnosnu praksu, znači da svaka organizacija rizikuje uvođenje pogrešnih konfiguracija u svoje aplikacije u oblaku."
