طبق گزارشی که پنجشنبه منتشر شد، داده های بیش از 100 میلیون کاربر اندروید ممکن است به دلیل نقص در نحوه مدیریت امنیت ابری توسط دستگاه ها در معرض هکرها قرار گیرد.
شرکت امنیت سایبری Check Point Research در این مطالعه ادعا کرد که حداقل 23 برنامه تلفن همراه محبوب حاوی "پیکربندی نادرست" سرویس های ابری شخص ثالث هستند. این شرکت گفت که توسعهدهندگان برخی از برنامهها هنگام همگامسازی با سرویسهای ابری، تدابیر امنیتی طراحیشده برای جلوگیری از نقض دادهها را بررسی نمیکنند.
محققان نوشتند: «با پیروی نکردن از بهترین شیوهها هنگام پیکربندی و ادغام سرویسهای ابری شخص ثالث در برنامهها، دادههای خصوصی میلیونها کاربر در معرض دید قرار گرفت.»
"در برخی موارد، این نوع سوء استفاده فقط بر کاربران تأثیر می گذارد، اما توسعه دهندگان نیز آسیب پذیر بودند. پیکربندی نادرست داده های کاربران و منابع داخلی توسعه دهنده، مانند دسترسی به مکانیسم های به روز رسانی و ذخیره سازی را در معرض خطر قرار می دهد."
محققان 23 برنامه اندروید از جمله برنامه تاکسی، سازنده لوگو، ضبط صفحه، سرویس فکس و نرم افزار طالع بینی را بررسی کردند و دریافتند که داده هایی از جمله سوابق ایمیل، پیام های چت، اطلاعات موقعیت مکانی، شناسه های کاربر، گذرواژهها و تصاویر.
کارشناسان امنیت سایبری می گویند که توسعه دهندگان باید از آسیب پذیری ها آگاه می شدند.
ری کلی، یک مهندس امنیت اصلی در شرکت امنیت سایبری WhiteHat Security، در یک مصاحبه ایمیلی گفت: "توسعه دهندگان تمایل دارند فکر کنند که پشتیبان های تلفن همراه از دید هکرها پنهان هستند".
"موتورهای جستجو، مانند Google، این APIها را ایندکس نمی کنند، که حس امنیت کاذبی ایجاد می کند، در حالی که در واقع، این نقاط پایانی تلفن همراه می توانند به اندازه هر وب سایت دیگری آسیب پذیر باشند."
با پیروی نکردن از بهترین شیوه ها هنگام پیکربندی و ادغام سرویس های ابری شخص ثالث در برنامه ها، داده های خصوصی میلیون ها کاربر در معرض دید قرار گرفت.
استفان باندا، مدیر ارشد شرکت امنیت سایبری Lookout، در یک مصاحبه ایمیلی گفت: توسعهدهندگان تحت فشار هستند تا سریع ویژگیهای جدید را در نرمافزار خود بگنجانند.
"برای استقرار سریع کد، سازمان ها برای ارتقاء عملکرد، وصله های امنیتی برای به روز نگه داشتن برنامه های کاربردی ابری به فرآیندهای تحویل خودکار نرم افزار تکیه می کنند".
"حرکت با این سرعت، حتی با وجود بهترین شیوه های مدیریت تغییر صدا و امنیت، به این معنی است که هر سازمانی در معرض خطر ایجاد پیکربندی نادرست در برنامه های ابری خود است."
