I dati di oltre 100 milioni di utenti Android potrebbero essere esposti agli hacker a causa di un difetto nel modo in cui i dispositivi gestiscono la sicurezza del cloud, secondo un rapporto pubblicato giovedì.
La società di sicurezza informatica Check Point Research ha affermato nello studio che almeno 23 app mobili popolari contengono "configurazioni errate" di servizi cloud di terze parti. La società ha affermato che gli sviluppatori di alcune app non hanno verificato se fossero in atto misure di sicurezza progettate per prevenire violazioni dei dati durante la sincronizzazione con i servizi cloud.
"Non seguendo le migliori pratiche durante la configurazione e l'integrazione di servizi cloud di terze parti nelle applicazioni, milioni di dati privati degli utenti sono stati esposti", hanno scritto i ricercatori.
"In alcuni casi, questo tipo di uso improprio colpisce solo gli utenti, tuttavia anche gli sviluppatori sono rimasti vulnerabili. L'errata configurazione mette a rischio i dati degli utenti e le risorse interne degli sviluppatori, come l'accesso ai meccanismi di aggiornamento e all'archiviazione."
I ricercatori hanno esaminato 23 app Android, tra cui un'app taxi, un creatore di loghi, un registratore dello schermo, un servizio fax e un software di astrologia, e hanno scoperto che trapelano dati, inclusi record di posta elettronica, messaggi di chat, informazioni sulla posizione, ID utente, password e immagini.
Gli esperti di sicurezza informatica affermano che gli sviluppatori avrebbero dovuto essere consapevoli delle vulnerabilità.
"Gli sviluppatori tendono a pensare che i backend mobili siano nascosti agli hacker", ha affermato in un'intervista via e-mail Ray Kelly, uno dei principali ingegneri della sicurezza presso la società di sicurezza informatica WhiteHat Security.
"I motori di ricerca, come Google, non indicizzano queste API, il che dà un falso senso di sicurezza quando, in effetti, questi endpoint mobili possono essere vulnerabili quanto qualsiasi altro sito web."
Non seguendo le best practice durante la configurazione e l'integrazione di servizi cloud di terze parti nelle applicazioni, milioni di dati privati degli utenti sono stati esposti.
Gli sviluppatori sono sotto pressione per incorporare rapidamente nuove funzionalità nel loro software, ha affermato Stephen Banda, un senior manager della società di sicurezza informatica Lookout, in un'intervista via e-mail.
"Per distribuire il codice rapidamente, le organizzazioni si affidano a processi di distribuzione software automatizzati per aggiornare le funzionalità e applicare patch di sicurezza per mantenere aggiornate le applicazioni cloud", ha aggiunto.
"Muoversi a questa velocità, anche con buone pratiche di gestione delle modifiche e di sicurezza in atto, significa che ogni organizzazione corre il rischio di introdurre configurazioni errate nelle proprie applicazioni cloud."
