Данные более 100 миллионов пользователей Android могут стать уязвимыми для хакеров из-за уязвимости в том, как устройства обеспечивают облачную безопасность, согласно отчету, опубликованному в четверг.
Компания Check Point Research, занимающаяся кибербезопасностью, заявила в своем исследовании, что как минимум 23 популярных мобильных приложения содержат «неправильные конфигурации» сторонних облачных сервисов. Компания заявила, что разработчики некоторых приложений не проверяли, были ли приняты меры безопасности, предназначенные для предотвращения утечки данных, при синхронизации с облачными сервисами.
«Из-за несоблюдения передового опыта при настройке и интеграции сторонних облачных сервисов в приложения были раскрыты личные данные миллионов пользователей», - пишут исследователи.
"В некоторых случаях этот тип неправомерного использования влияет только на пользователей, однако разработчики также остаются уязвимыми. Неправильная конфигурация подвергает риску данные пользователей и внутренние ресурсы разработчика, такие как доступ к механизмам обновления и хранилищу."
Исследователи изучили 23 приложения для Android, в том числе приложение такси, средство для создания логотипов, средство записи экрана, факсимильный сервис и астрологическое программное обеспечение, и обнаружили, что из них происходила утечка данных, включая записи электронной почты, сообщения чата, информацию о местоположении, идентификаторы пользователей, пароли и изображения.
Эксперты по кибербезопасности говорят, что разработчики должны были знать об уязвимостях.
«Разработчики склонны думать, что мобильные серверные части скрыты от хакеров», - сказал в интервью по электронной почте Рэй Келли, главный инженер по безопасности в фирме по кибербезопасности WhiteHat Security.
"Поисковые системы, такие как Google, не индексируют эти API, что создает ложное ощущение безопасности, хотя на самом деле эти мобильные конечные точки могут быть так же уязвимы, как и любой другой веб-сайт."
Не следуя передовым методам настройки и интеграции сторонних облачных сервисов в приложения, личные данные миллионов пользователей были раскрыты.
Разработчики вынуждены быстро внедрять новые функции в свое программное обеспечение, сказал в интервью по электронной почте Стивен Банда, старший менеджер компании по кибербезопасности Lookout.
«Чтобы быстро развернуть код, организации полагаются на автоматизированные процессы доставки программного обеспечения для обновления функциональности, применяют исправления безопасности для поддержания актуальности облачных приложений», - добавил он.
"Движение с такой скоростью, даже при наличии надежного управления изменениями и лучших практик безопасности, означает, что каждая организация рискует внести неправильные настройки в свои облачные приложения."
