Torstaina julkaistun raportin mukaan yli 100 miljoonan Android-käyttäjän tiedot voivat altistua hakkereille, koska laitteet käsittelevät pilviturvallisuutta koskevia virheitä.
Kyberturvallisuusyritys Check Point Research väitti tutkimuksessa, että ainakin 23 suosittua mobiilisovellusta sisältää kolmannen osapuolen pilvipalveluiden "virheellisiä määrityksiä". Yhtiö sanoi, että joidenkin sovellusten kehittäjät eivät tarkistaneet, olivatko tietomurtojen estämiseen suunnitellut suojatoimenpiteet käytössä pilvipalvelujen kanssa synkronoinnin aikana.
"Jos ei noudatettu parhaita käytäntöjä määritettäessä ja integroitaessa kolmannen osapuolen pilvipalveluita sovelluksiin, miljoonien käyttäjien yksityiset tiedot paljastettiin", tutkijat kirjoittivat.
"Joissakin tapauksissa tämäntyyppinen väärinkäyttö vaikuttaa vain käyttäjiin, mutta myös kehittäjät jäivät haavoittuviksi. Virheellinen määritys vaarantaa käyttäjien tiedot ja kehittäjän sisäiset resurssit, kuten pääsyn päivitysmekanismeihin ja tallennustilaan."
Tutkijat tutkivat 23 Android-sovellusta, mukaan lukien taksisovellus, logovalmistaja, näytön tallennin, faksipalvelu ja astrologiaohjelmisto, ja havaitsivat, että ne vuotivat tietoja, kuten sähköpostitietueita, chat-viestejä, sijaintitietoja, käyttäjätunnuksia, salasanat ja kuvat.
Kyberturvallisuusasiantuntijat sanovat, että kehittäjien olisi pitänyt olla tietoisia haavoittuvuuksista.
"Kehittäjät ajattelevat, että mobiilitaustajärjestelmät ovat piilossa hakkereilta", Ray Kelly, kyberturvallisuusyrityksen WhiteHat Securityn tärkein tietoturvainsinööri, sanoi sähköpostihaastattelussa.
"Hakukoneet, kuten Google, eivät indeksoi näitä sovellusliittymiä, mikä antaa väärän turvallisuuden tunteen, vaikka itse asiassa nämä mobiilipäätepisteet voivat olla yhtä haavoittuvia kuin mikä tahansa muu verkkosivusto."
Jos ei noudatettu parhaita käytäntöjä määritettäessä ja integroitaessa kolmannen osapuolen pilvipalveluita sovelluksiin, miljoonien käyttäjien yksityiset tiedot paljastettiin.
Kehittäjiä painostetaan sisällyttämään nopeasti uusia ominaisuuksia ohjelmistoonsa, Stephen Banda, kyberturvallisuusyritys Lookoutin vanhempi johtaja, sanoi sähköpostihaastattelussa.
"Ottaakseen koodin käyttöön nopeasti organisaatiot luottavat automaattisiin ohjelmistotoimitusprosesseihin päivittääkseen toimintoja ja asentaakseen tietoturvakorjauksia, jotta pilvisovellukset pysyvät ajan tasalla", hän lisäsi.
"Tällä nopeudella liikkuminen, vaikka muutoksenhallinnan ja turvallisuuden parhaat käytännöt olisivat käytössä, tarkoittaa, että jokainen organisaatio on vaarassa aiheuttaa virheellisiä määrityksiä pilvisovelluksiinsa."
