Äsja paljastatud turvaviga võib mõjutada 100 miljonit kasutajat, teatage väidetest

Äsja paljastatud turvaviga võib mõjutada 100 miljonit kasutajat, teatage väidetest
Äsja paljastatud turvaviga võib mõjutada 100 miljonit kasutajat, teatage väidetest
Anonim

Neljapäeval avaldatud aruande kohaselt võivad enam kui 100 miljoni Androidi kasutaja andmed sattuda häkkerite kätte, kuna seadmetes on pilveturbe haldamises esinev viga.

Küberturvafirma Check Point Research väitis uuringus, et vähem alt 23 populaarset mobiilirakendust sisaldavad kolmandate osapoolte pilveteenuste "vale konfiguratsiooni". Ettevõte teatas, et mõne rakenduse arendajad ei kontrollinud pilveteenustega sünkroonimisel, kas andmetega seotud rikkumiste ärahoidmiseks mõeldud turvameetmed on paigas.

Image
Image

"Kui ei järgitud kolmanda osapoole pilveteenuste konfigureerimisel ja rakendustesse integreerimisel parimaid tavasid, paljastati miljonite kasutajate privaatsed andmed," kirjutasid teadlased.

"Mõnel juhul mõjutab seda tüüpi väärkasutus ainult kasutajaid, kuid haavatavaks jäid ka arendajad. Vale seadistus seab ohtu kasutajate andmed ja arendaja sisemised ressursid, nagu juurdepääs värskendusmehhanismidele ja salvestusruumile."

Teadlased uurisid 23 Androidi rakendust, sealhulgas taksorakendust, logotootjat, ekraanisalvestit, faksiteenust ja astroloogiatarkvara ning leidsid, et need lekisid andmeid, sealhulgas meilikirjeid, vestlussõnumeid, asukohateavet, kasutajatunnuseid, paroolid ja pildid.

Küberturvalisuse eksperdid väidavad, et arendajad oleksid pidanud haavatavustest teadlikud olema.

"Arendajad kipuvad arvama, et mobiilsed taustaprogrammid on häkkerite eest varjatud," ütles küberturbefirma WhiteHat Security peamine turbeinsener Ray Kelly meiliintervjuus.

"Otsingumootorid, nagu Google, ei indekseeri neid API-sid, mis annab vale turvatunde, kuigi tegelikult võivad need mobiilsed lõpp-punktid olla sama haavatavad kui mis tahes muu veebisait."

Kui ei järginud parimaid tavasid kolmanda osapoole pilveteenuste konfigureerimisel ja rakendustesse integreerimisel, paljastati miljonite kasutajate privaatsed andmed.

Arendajatele avaldatakse survet oma tarkvarasse kiiresti uusi funktsioone lisada, ütles küberturbefirma Lookout vanemjuht Stephen Banda meiliintervjuus.

"Koodi kiireks juurutamiseks toetuvad organisatsioonid automatiseeritud tarkvara tarneprotsessidele, et uuendada funktsioone, rakendada turvapaigad, et hoida pilverakendused ajakohasena," lisas ta.

"Sellel kiirusel liikumine, isegi kui muudatuste haldamine ja turvalisuse parimad tavad on paigas, tähendab, et igal organisatsioonil on oht lisada oma pilverakendustesse väärkonfiguratsioone."

Soovitan: