Dataene fra over 100 millioner Android-brugere kan blive udsat for hackere på grund af en fejl i den måde, enhederne håndterer cloud-sikkerhed, ifølge en rapport udsendt torsdag.
Cybersikkerhedsfirmaet Check Point Research hævdede i undersøgelsen, at mindst 23 populære mobilapps indeholder "fejlkonfigurationer" af tredjeparts cloud-tjenester. Virksomheden sagde, at udviklere af nogle af appsene ikke tjekkede, om sikkerhedsforanst altninger designet til at forhindre databrud var på plads, når de synkroniserede med cloud-tjenester.
"Ved ikke at følge bedste praksis ved konfiguration og integration af tredjeparts cloud-tjenester i applikationer, blev millioner af brugeres private data afsløret," skrev forskerne.
"I nogle tilfælde påvirker denne type misbrug kun brugerne, men udviklerne blev også efterladt sårbare. Fejlkonfigurationen sætter brugernes data og udviklerens interne ressourcer, såsom adgang til opdateringsmekanismer og lagring, i fare."
Forskerne undersøgte 23 Android-apps, inklusive en taxa-app, logo-maker, skærmoptager, faxtjeneste og astrologisoftware, og fandt ud af, at de lækkede data, herunder e-mail-poster, chatbeskeder, placeringsoplysninger, bruger-id'er, adgangskoder og billeder.
Cybersikkerhedseksperter siger, at udviklere burde have været opmærksomme på sårbarhederne.
"Udviklere har en tendens til at tro, at mobile backends er skjult for hackere," sagde Ray Kelly, en ledende sikkerhedsingeniør hos cybersikkerhedsfirmaet WhiteHat Security, i et e-mailinterview.
"Søgemaskiner, såsom Google, indekserer ikke disse API'er, hvilket giver en falsk følelse af sikkerhed, når disse mobile slutpunkter faktisk kan være lige så sårbare som ethvert andet websted."
Ved ikke at følge bedste praksis ved konfiguration og integration af tredjeparts cloud-tjenester i applikationer, blev millioner af brugeres private data afsløret.
Udviklere er under pres for hurtigt at inkorporere nye funktioner i deres software, sagde Stephen Banda, en senior manager hos cybersikkerhedsfirmaet Lookout, i et e-mailinterview.
"For at implementere kode hurtigt, er organisationer afhængige af automatiserede softwareleveringsprocesser for at opgradere funktionalitet, anvende sikkerhedsrettelser for at holde cloud-applikationer opdaterede," tilføjede han.
"Bevægelse med denne hastighed, selv med god ændringsstyring og bedste sikkerhedspraksis på plads, betyder, at enhver organisation risikerer at indføre fejlkonfigurationer i deres cloud-applikationer."
