הנתונים של למעלה מ-100 מיליון משתמשי אנדרואיד עלולים להיחשף להאקרים עקב פגם באופן שבו המכשירים מטפלים באבטחת ענן, לפי דוח שפורסם ביום חמישי.
חברת אבטחת הסייבר Check Point Research טענה במחקר שלפחות 23 אפליקציות סלולריות פופולריות מכילות "הגדרות שגויות" של שירותי ענן של צד שלישי. מהחברה נמסר כי מפתחי חלק מהאפליקציות לא בדקו אם אמצעי אבטחה שנועדו למנוע פרצות נתונים היו במקום בעת סנכרון עם שירותי ענן.
"על ידי אי הקפדה על שיטות עבודה מומלצות בעת הגדרה ושילוב של שירותי ענן של צד שלישי באפליקציות, מיליוני נתונים פרטיים של משתמשים נחשפו", כתבו החוקרים.
"במקרים מסוימים, סוג זה של שימוש לרעה משפיע רק על המשתמשים, אולם, המפתחים נותרו גם פגיעים. התצורה השגויה מסכנת את נתוני המשתמשים והמשאבים הפנימיים של המפתחים, כגון גישה למנגנוני עדכון ואחסון."
החוקרים בחנו 23 אפליקציות אנדרואיד, כולל אפליקציית מוניות, יצרנית לוגו, מקליט מסך, שירות פקס ותוכנת אסטרולוגיה, וגילו שהן דלפו נתונים, כולל רשומות אימייל, הודעות צ'אט, פרטי מיקום, מזהי משתמש, סיסמאות ותמונות.
מומחי אבטחת סייבר אומרים שמפתחים היו צריכים להיות מודעים לנקודות התורפה.
"מפתחים נוטים לחשוב שחלקים אחוריים לנייד מוסתרים מהאקרים", אמר ריי קלי, מהנדס אבטחה ראשי בחברת אבטחת הסייבר WhiteHat Security, בראיון באימייל.
"מנועי חיפוש, כגון Google, אינם מוסיפים לאינדקס ממשקי API אלה, מה שנותן תחושת אבטחה כוזבת כאשר למעשה, נקודות הקצה הנייד הללו עלולות להיות פגיעות בדיוק כמו כל אתר אחר."
על ידי אי הקפדה על שיטות עבודה מומלצות בעת הגדרה ושילוב של שירותי ענן של צד שלישי באפליקציות, נחשפו הנתונים הפרטיים של מיליוני משתמשים.
מפתחים נמצאים בלחץ לשלב במהירות תכונות חדשות בתוכנה שלהם, אמר סטיבן בנדה, מנהל בכיר בחברת אבטחת הסייבר Lookout, בראיון באימייל.
"כדי לפרוס קוד במהירות, ארגונים מסתמכים על תהליכי משלוח תוכנה אוטומטיים כדי לשדרג את הפונקציונליות, להחיל תיקוני אבטחה כדי לשמור על עדכניות יישומי ענן", הוסיף.
"מעבר במהירות זו, אפילו עם ניהול שינויים תקינים ושיטות עבודה מומלצות באבטחה, פירושו שכל ארגון מסתכן בהכנסת הגדרות שגויות ליישומי הענן שלו."
