Podľa správy vydanej vo štvrtok môžu byť údaje viac ako 100 miliónov používateľov systému Android vystavené hackerom kvôli chybe v spôsobe, akým zariadenia zvládajú cloudové zabezpečenie.
Firma Check Point Research zaoberajúca sa kybernetickou bezpečnosťou v štúdii tvrdila, že najmenej 23 populárnych mobilných aplikácií obsahuje „nesprávne konfigurácie“cloudových služieb tretích strán. Spoločnosť uviedla, že vývojári niektorých aplikácií pri synchronizácii s cloudovými službami nekontrolovali, či sú zavedené bezpečnostné opatrenia určené na zabránenie narušeniam údajov.
„Nedodržiavaním osvedčených postupov pri konfigurácii a integrácii cloudových služieb tretích strán do aplikácií boli odhalené súkromné údaje miliónov používateľov,“napísali vedci.
"V niektorých prípadoch sa tento typ zneužitia týka iba používateľov, no aj vývojári zostali zraniteľní. Nesprávna konfigurácia ohrozuje údaje používateľov a interné zdroje vývojára, ako je prístup k aktualizačným mechanizmom a úložiskám."
Výskumníci preskúmali 23 aplikácií pre Android vrátane aplikácie pre taxi, tvorcu loga, záznamníka obrazovky, faxovej služby a astrologického softvéru a zistili, že unikli údaje vrátane e-mailových záznamov, četových správ, informácií o polohe, ID používateľov, heslá a obrázky.
Odborníci na kybernetickú bezpečnosť tvrdia, že vývojári si mali byť vedomí zraniteľnosti.
„Vývojári majú tendenciu myslieť si, že mobilné backendy sú pred hackermi skryté,“povedal Ray Kelly, hlavný bezpečnostný inžinier vo firme WhiteHat Security pre kybernetickú bezpečnosť, v e-mailovom rozhovore.
"Vyhľadávače, ako je Google, neindexujú tieto rozhrania API, čo dáva falošný pocit bezpečia, hoci v skutočnosti môžu byť tieto mobilné koncové body rovnako zraniteľné ako akékoľvek iné webové stránky."
Nedodržiavaním osvedčených postupov pri konfigurácii a integrácii cloudových služieb tretích strán do aplikácií boli odhalené súkromné údaje miliónov používateľov.
Vývojári sú pod tlakom, aby rýchlo začlenili nové funkcie do svojho softvéru, povedal v e-mailovom rozhovore Stephen Banda, senior manažér spoločnosti Lookout, zaoberajúcej sa kybernetickou bezpečnosťou.
„Na rýchle nasadenie kódu sa organizácie spoliehajú na procesy automatizovaného doručovania softvéru, aby aktualizovali funkčnosť, použili bezpečnostné záplaty, aby boli cloudové aplikácie aktuálne,“dodal.
„Pohybovanie sa touto rýchlosťou, dokonca aj so správnym riadením zmien a osvedčenými postupmi zabezpečenia, znamená, že každá organizácia riskuje, že do svojich cloudových aplikácií zavedie nesprávne konfigurácie.“
