Τα δεδομένα περισσότερων από 100 εκατομμυρίων χρηστών Android θα μπορούσαν να εκτεθούν σε χάκερ λόγω ενός ελαττώματος στον τρόπο με τον οποίο οι συσκευές χειρίζονται την ασφάλεια στο cloud, σύμφωνα με έκθεση που εκδόθηκε την Πέμπτη.
Η εταιρεία κυβερνοασφάλειας Check Point Research ισχυρίστηκε στη μελέτη ότι τουλάχιστον 23 δημοφιλείς εφαρμογές για κινητά περιέχουν "λανθασμένες διαμορφώσεις" υπηρεσιών cloud τρίτων. Η εταιρεία είπε ότι οι προγραμματιστές ορισμένων από τις εφαρμογές δεν έλεγξαν εάν ίσχυαν μέτρα ασφαλείας που είχαν σχεδιαστεί για την αποτροπή παραβιάσεων δεδομένων κατά το συγχρονισμό με υπηρεσίες cloud.
"Με το να μην ακολουθούμε τις βέλτιστες πρακτικές κατά τη διαμόρφωση και την ενσωμάτωση υπηρεσιών cloud τρίτων σε εφαρμογές, εκτέθηκαν ιδιωτικά δεδομένα εκατομμυρίων χρηστών", έγραψαν οι ερευνητές.
"Σε ορισμένες περιπτώσεις, αυτός ο τύπος κακής χρήσης επηρεάζει μόνο τους χρήστες, ωστόσο, οι προγραμματιστές έμειναν επίσης ευάλωτοι. Η εσφαλμένη διαμόρφωση θέτει σε κίνδυνο τα δεδομένα των χρηστών και τους εσωτερικούς πόρους του προγραμματιστή, όπως η πρόσβαση σε μηχανισμούς ενημέρωσης και αποθήκευσης."
Οι ερευνητές εξέτασαν 23 εφαρμογές Android, συμπεριλαμβανομένης μιας εφαρμογής ταξί, δημιουργίας λογότυπων, συσκευής εγγραφής οθόνης, υπηρεσίας φαξ και λογισμικού αστρολογίας, και διαπίστωσαν ότι διέρρευσαν δεδομένα, συμπεριλαμβανομένων εγγραφών email, μηνυμάτων συνομιλίας, πληροφοριών τοποθεσίας, αναγνωριστικών χρηστών, κωδικούς πρόσβασης και εικόνες.
Εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας λένε ότι οι προγραμματιστές θα έπρεπε να είχαν επίγνωση των τρωτών σημείων.
"Οι προγραμματιστές τείνουν να πιστεύουν ότι τα backends για κινητά είναι κρυμμένα από χάκερ", δήλωσε ο Ray Kelly, κύριος μηχανικός ασφαλείας στην εταιρεία κυβερνοασφάλειας WhiteHat Security, σε μια συνέντευξη μέσω email.
"Οι μηχανές αναζήτησης, όπως η Google, δεν ευρετηριάζουν αυτά τα API, κάτι που δίνει μια ψευδή αίσθηση ασφάλειας όταν, στην πραγματικότητα, αυτά τα τελικά σημεία για κινητά μπορεί να είναι εξίσου ευάλωτα με οποιονδήποτε άλλο ιστότοπο."
Με το να μην ακολουθούμε τις βέλτιστες πρακτικές κατά τη διαμόρφωση και την ενσωμάτωση υπηρεσιών cloud τρίτων σε εφαρμογές, εκτέθηκαν ιδιωτικά δεδομένα εκατομμυρίων χρηστών.
Οι προγραμματιστές βρίσκονται υπό πίεση να ενσωματώσουν γρήγορα νέες δυνατότητες στο λογισμικό τους, δήλωσε ο Stephen Banda, ανώτερος διευθυντής στην εταιρεία κυβερνοασφάλειας Lookout, σε μια συνέντευξη μέσω email.
"Για την γρήγορη ανάπτυξη κώδικα, οι οργανισμοί βασίζονται σε αυτοματοποιημένες διαδικασίες παράδοσης λογισμικού για την αναβάθμιση της λειτουργικότητας, εφαρμόζουν ενημερώσεις κώδικα ασφαλείας για να διατηρούν ενημερωμένες τις εφαρμογές cloud", πρόσθεσε.
"Κινούμενοι με αυτήν την ταχύτητα, ακόμη και με τις βέλτιστες πρακτικές διαχείρισης αλλαγών ήχου και ασφάλειας, σημαίνει ότι κάθε οργανισμός διατρέχει τον κίνδυνο να εισάγει εσφαλμένες διαμορφώσεις στις εφαρμογές cloud."
