Vairāk nekā 100 miljonu Android lietotāju dati var tikt pakļauti hakeriem, jo ierīcēs ir trūkumi mākoņdrošībā, liecina ceturtdien publicētais ziņojums.
Kiberdrošības uzņēmums Check Point Research pētījumā apgalvoja, ka vismaz 23 populārās mobilajās lietotnēs ir trešo pušu mākoņpakalpojumu "nepareizas konfigurācijas". Uzņēmums paziņoja, ka dažu lietotņu izstrādātāji nepārbaudīja, vai, veicot sinhronizāciju ar mākoņpakalpojumiem, ir ieviesti drošības pasākumi, kas paredzēti datu pārkāpumu novēršanai.
"Neievērojot paraugpraksi, konfigurējot un integrējot lietojumprogrammās trešās puses mākoņpakalpojumus, tika atklāti miljoniem lietotāju privāto datu," raksta pētnieki.
"Dažos gadījumos šāda veida ļaunprātīga izmantošana ietekmē tikai lietotājus, tomēr arī izstrādātāji tika atstāti neaizsargāti. Nepareiza konfigurācija apdraud lietotāju datus un izstrādātāja iekšējos resursus, piemēram, piekļuvi atjaunināšanas mehānismiem un krātuvei."
Pētnieki pārbaudīja 23 Android lietotnes, tostarp taksometru lietotni, logotipu veidotāju, ekrāna ierakstītāju, faksa pakalpojumu un astroloģijas programmatūru, un atklāja, ka no tām tika nopludināti dati, tostarp e-pasta ieraksti, tērzēšanas ziņojumi, atrašanās vietas informācija, lietotāju ID, paroles un attēli.
Kiberdrošības eksperti saka, ka izstrādātājiem vajadzēja būt informētiem par ievainojamību.
"Izstrādātāji mēdz domāt, ka mobilās aizmugursistēmas ir paslēptas no hakeriem," e-pasta intervijā sacīja Rejs Kellijs, kiberdrošības uzņēmuma WhiteHat Security galvenais drošības inženieris.
"Meklētājprogrammas, piemēram, Google, neindeksē šīs API, kas rada nepatiesu drošības sajūtu, lai gan patiesībā šie mobilie galapunkti var būt tikpat neaizsargāti kā jebkura cita vietne."
Neievērojot paraugpraksi, konfigurējot un integrējot lietojumprogrammās trešās puses mākoņpakalpojumus, tika atklāti miljoniem lietotāju privāto datu.
Izstrādātāji tiek pakļauti spiedienam ātri iekļaut savā programmatūrā jaunas funkcijas, e-pasta intervijā sacīja Stīvens Banda, kiberdrošības uzņēmuma Lookout vecākais vadītājs.
"Lai ātri izvietotu kodu, organizācijas paļaujas uz automatizētiem programmatūras piegādes procesiem, lai atjauninātu funkcionalitāti, lietotu drošības ielāpus, lai mākoņa lietojumprogrammas būtu atjauninātas," viņš piebilda.
"Pārvietošanās ar šādu ātrumu, pat ja ir ieviesta pareiza izmaiņu pārvaldība un drošības paraugprakse, nozīmē, ka katra organizācija riskē savās mākoņa lietojumprogrammās ieviest nepareizas konfigurācijas."
