Данните на над 100 милиона потребители на Android могат да бъдат изложени на хакери поради недостатък в начина, по който устройствата се справят със сигурността в облака, според доклад, публикуван в четвъртък.
Фирмата за киберсигурност Check Point Research твърди в проучването, че най-малко 23 популярни мобилни приложения съдържат „неправилни конфигурации“на облачни услуги на трети страни. Компанията каза, че разработчиците на някои от приложенията не са проверили дали мерките за сигурност, предназначени да предотвратят пробиви на данни, са налице при синхронизиране с облачни услуги.
„Чрез неспазване на най-добрите практики при конфигуриране и интегриране на облачни услуги на трети страни в приложения, личните данни на милиони потребители бяха разкрити“, пишат изследователите.
"В някои случаи този тип злоупотреба засяга само потребителите, но разработчиците също са оставени уязвими. Грешната конфигурация излага на риск данните на потребителите и вътрешните ресурси на програмиста, като например достъп до механизми за актуализиране и съхранение."
Изследователите изследваха 23 приложения за Android, включително приложение за такси, програма за създаване на лого, запис на екрана, факс услуга и софтуер за астрология, и установиха, че изтичат данни, включително имейл записи, чат съобщения, информация за местоположение, потребителски идентификатори, пароли и изображения.
Експертите по киберсигурност казват, че разработчиците е трябвало да са наясно с уязвимостите.
„Разработчиците са склонни да мислят, че мобилните бекендове са скрити от хакери“, каза Рей Кели, главен инженер по сигурността във фирмата за киберсигурност WhiteHat Security, в интервю по имейл.
"Търсачките, като Google, не индексират тези API, което дава фалшиво усещане за сигурност, когато всъщност тези мобилни крайни точки могат да бъдат също толкова уязвими, колкото всеки друг уебсайт."
Чрез неспазване на най-добрите практики при конфигуриране и интегриране на облачни услуги на трети страни в приложения, личните данни на милиони потребители бяха изложени на показ.
Разработчиците са подложени на натиск бързо да включат нови функции в своя софтуер, каза Стивън Банда, старши мениджър във фирмата за киберсигурност Lookout, в интервю по имейл.
"За да разположат бързо кода, организациите разчитат на автоматизирани процеси за доставка на софтуер за надграждане на функционалността, прилагане на корекции за сигурност, за да поддържат облачните приложения актуални", добави той.
"Движението с тази скорост, дори и при стабилно управление на промените и най-добри практики за сигурност, означава, че всяка организация е изложена на риск от въвеждане на неправилни конфигурации в своите облачни приложения."
