De gegevens van meer dan 100 miljoen Android-gebruikers kunnen worden blootgesteld aan hackers als gevolg van een fout in de manier waarop de apparaten omgaan met cloudbeveiliging, volgens een rapport dat donderdag is uitgebracht.
Cyberbeveiligingsbedrijf Check Point Research beweerde in het onderzoek dat ten minste 23 populaire mobiele apps "verkeerde configuraties" van cloudservices van derden bevatten. Het bedrijf zei dat ontwikkelaars van sommige apps niet controleerden of er beveiligingsmaatregelen waren genomen om datalekken te voorkomen bij het synchroniseren met cloudservices.
"Door de best practices niet te volgen bij het configureren en integreren van cloudservices van derden in applicaties, werden miljoenen privégegevens van gebruikers blootgelegd", schreven de onderzoekers.
"In sommige gevallen treft dit soort misbruik alleen de gebruikers, maar de ontwikkelaars waren ook kwetsbaar. De verkeerde configuratie brengt de gegevens van gebruikers en de interne bronnen van de ontwikkelaar, zoals toegang tot updatemechanismen en opslag in gevaar."
De onderzoekers onderzochten 23 Android-apps, waaronder een taxi-app, logomaker, schermrecorder, faxservice en astrologiesoftware, en ontdekten dat ze gegevens lekten, waaronder e-mailrecords, chatberichten, locatie-informatie, gebruikers-ID's, wachtwoorden en afbeeldingen.
Cybersecurity-experts zeggen dat ontwikkelaars op de hoogte hadden moeten zijn van de kwetsbaarheden.
"Ontwikkelaars hebben de neiging om te denken dat mobiele backends verborgen zijn voor hackers", zei Ray Kelly, hoofdbeveiligingsingenieur bij het cyberbeveiligingsbedrijf WhiteHat Security, in een e-mailinterview.
"Zoekmachines, zoals Google, indexeren deze API's niet, wat een vals gevoel van veiligheid geeft, terwijl deze mobiele eindpunten in feite net zo kwetsbaar kunnen zijn als elke andere website."
Door de best practices niet te volgen bij het configureren en integreren van cloudservices van derden in applicaties, werden miljoenen privégegevens van gebruikers blootgelegd.
Ontwikkelaars staan onder druk om snel nieuwe functies in hun software op te nemen, zei Stephen Banda, een senior manager bij cyberbeveiligingsbedrijf Lookout, in een e-mailinterview.
"Om code snel te implementeren, vertrouwen organisaties op geautomatiseerde softwareleveringsprocessen om functionaliteit te upgraden, beveiligingspatches toe te passen om cloudapplicaties up-to-date te houden, "voegde hij eraan toe.
"Door met deze snelheid te bewegen, zelfs met gedegen verandermanagement en best practices op het gebied van beveiliging, loopt elke organisatie het risico verkeerde configuraties in hun cloud-applicaties te introduceren."
