Daugiau nei 100 milijonų „Android“naudotojų duomenys gali būti paveikti įsilaužėlių dėl įrenginių debesies saugos trūkumo, teigiama ketvirtadienį paskelbtoje ataskaitoje.
Kibernetinio saugumo įmonė „Check Point Research“tyrime teigė, kad mažiausiai 23 populiariose mobiliosiose programose yra „klaidingos trečiųjų šalių debesies paslaugų konfigūracijos“. Bendrovė teigė, kad kai kurių programų kūrėjai netikrino, ar buvo taikomos saugos priemonės, skirtos užkirsti kelią duomenų pažeidimams sinchronizuojant su debesijos paslaugomis.
„Nesilaikant geriausios praktikos konfigūruojant ir integruojant trečiųjų šalių debesijos paslaugas į programas, buvo atskleisti milijonai vartotojų privatūs duomenys“, – rašė mokslininkai.
"Kai kuriais atvejais tokio tipo piktnaudžiavimas paveikia tik vartotojus, tačiau kūrėjai taip pat liko pažeidžiami. Dėl netinkamos konfigūracijos kyla pavojus vartotojų duomenims ir kūrėjo vidiniams ištekliams, pvz., prieigai prie atnaujinimo mechanizmų ir saugyklos."
Tyrėjai ištyrė 23 „Android“programas, įskaitant taksi programą, logotipų kūrėją, ekrano įrašymo įrenginį, fakso paslaugą ir astrologijos programinę įrangą, ir nustatė, kad jos nutekino duomenis, įskaitant el. pašto įrašus, pokalbių pranešimus, vietos informaciją, naudotojo ID, slaptažodžiai ir vaizdai.
Kibernetinio saugumo ekspertai teigia, kad kūrėjai turėjo žinoti apie pažeidžiamumą.
„Kūrėjai linkę manyti, kad mobiliosios užpakalinės programos yra paslėptos nuo įsilaužėlių“, – interviu el. paštu sakė Ray Kelly, pagrindinis kibernetinio saugumo įmonės „WhiteHat Security“saugumo inžinierius.
"Paieškos varikliai, pvz., Google, neindeksuoja šių API, o tai suteikia klaidingą saugumo jausmą, nors iš tikrųjų šie mobilieji galiniai taškai gali būti taip pat pažeidžiami kaip ir bet kuri kita svetainė."
Nesilaikant geriausios praktikos konfigūruojant ir į programas integruojant trečiųjų šalių debesies paslaugas, buvo atskleisti milijonai naudotojų asmeninių duomenų.
Kūrėjai patiria spaudimą greitai įtraukti naujų funkcijų į savo programinę įrangą, – interviu el. paštu sakė Stephenas Banda, kibernetinio saugumo įmonės „Lookout“vyresnysis vadovas.
„Norėdami greitai įdiegti kodą, organizacijos pasikliauja automatiniais programinės įrangos pristatymo procesais, kad atnaujintų funkcijas, taikytų saugos pataisas, kad debesies programos būtų atnaujintos“, – pridūrė jis.
„Judėdami tokiu greičiu, net ir taikant patikimą pakeitimų valdymą ir geriausios saugos praktikos pavyzdžius, kiekviena organizacija rizikuoja netinkamai konfigūruoti savo debesų programas“.