Die data van meer as 100 miljoen Android-gebruikers kan aan kuberkrakers blootgestel word as gevolg van 'n fout in die manier waarop die toestelle wolksekuriteit hanteer, volgens 'n verslag wat Donderdag uitgereik is.
Cybersecurity-firma Check Point Research het in die studie beweer dat ten minste 23 gewilde mobiele toepassings "wankonfigurasies" van derdeparty-wolkdienste bevat. Die maatskappy het gesê dat ontwikkelaars van sommige van die toepassings nie nagegaan het of sekuriteitsmaatreëls wat ontwerp is om data-oortredings te voorkom, in plek was wanneer hulle met wolkdienste gesinchroniseer is nie.
"Deur nie die beste praktyke te volg wanneer derdeparty-wolkdienste in toepassings gekonfigureer en geïntegreer word nie, is miljoene gebruikers se private data blootgelê," het die navorsers geskryf.
"In sommige gevalle raak hierdie tipe misbruik net die gebruikers, maar die ontwikkelaars is ook kwesbaar gelaat. Die wankonfigurasie plaas gebruikers se data en ontwikkelaar se interne hulpbronne, soos toegang tot opdateringsmeganismes en berging, in gevaar."
Die navorsers het 23 Android-toepassings ondersoek, insluitend 'n taxi-toepassing, logo-vervaardiger, skermopnemer, faksdiens en astrologiesagteware, en gevind dat hulle data uitgelek het, insluitend e-posrekords, kletsboodskappe, ligginginligting, gebruiker-ID's, wagwoorde en prente.
Kuberveiligheidskenners sê dat ontwikkelaars bewus moes gewees het van die kwesbaarhede.
"Ontwikkelaars is geneig om te dink dat mobiele backends vir kuberkrakers versteek is," het Ray Kelly, 'n hoofsekuriteitsingenieur by die kuberveiligheidsfirma WhiteHat Security, in 'n e-posonderhoud gesê.
"Soekenjins, soos Google, indekseer nie hierdie API's nie, wat 'n valse gevoel van sekuriteit gee terwyl hierdie mobiele eindpunte in werklikheid net so kwesbaar soos enige ander webwerf kan wees."
Deur nie die beste praktyke te volg wanneer derdeparty-wolkdienste in toepassings gekonfigureer en geïntegreer word nie, is miljoene gebruikers se private data blootgestel.
Ontwikkelaars is onder druk om vinnig nuwe kenmerke in hul sagteware te inkorporeer, het Stephen Banda, 'n senior bestuurder by die kuberveiligheidsfirma Lookout, in 'n e-posonderhoud gesê.
"Om kode vinnig te ontplooi, maak organisasies staat op geoutomatiseerde sagteware-afleweringsprosesse om funksionaliteit op te gradeer, sekuriteitregstellings toe te pas om wolktoepassings op datum te hou," het hy bygevoeg.
"Om teen hierdie spoed te beweeg, selfs met goeie veranderingsbestuur en beste praktyke vir sekuriteit in plek, beteken dat elke organisasie die risiko loop om wankonfigurasies in hul wolktoepassings in te voer."
