Perşembe günü yayınlanan bir rapora göre, cihazların bulut güvenliğini işleme biçimindeki bir kusur nedeniyle 100 milyondan fazla Android kullanıcısının verileri bilgisayar korsanlarına maruz kalabilir.
Siber güvenlik firması Check Point Research, araştırmada en az 23 popüler mobil uygulamanın üçüncü taraf bulut hizmetlerinin "yanlış yapılandırmalarını" içerdiğini iddia etti. Şirket, bazı uygulamaların geliştiricilerinin, bulut hizmetleriyle senkronizasyon sırasında veri ihlallerini önlemek için tasarlanmış güvenlik önlemlerinin uygulanıp uygulanmadığını kontrol etmediğini söyledi.
Araştırmacılar, "Üçüncü taraf bulut hizmetlerini yapılandırırken ve uygulamalara entegre ederken en iyi uygulamaları takip etmemekle, milyonlarca kullanıcının özel verileri açığa çıktı" diye yazdı.
"Bazı durumlarda, bu tür kötüye kullanım yalnızca kullanıcıları etkiler, ancak geliştiriciler de savunmasız kaldı. Yanlış yapılandırma, kullanıcıların verilerini ve geliştiricinin güncelleme mekanizmalarına erişim ve depolama gibi dahili kaynaklarını riske sokar."
Araştırmacılar bir taksi uygulaması, logo oluşturucu, ekran kaydedici, faks hizmeti ve astroloji yazılımı da dahil olmak üzere 23 Android uygulamasını inceledi ve e-posta kayıtları, sohbet mesajları, konum bilgileri, kullanıcı kimlikleri, şifreler ve resimler.
Siber güvenlik uzmanları, geliştiricilerin güvenlik açıklarının farkında olması gerektiğini söylüyor.
Siber güvenlik firması WhiteHat Security'de baş güvenlik mühendisi olan Ray Kelly bir e-posta röportajında "Geliştiriciler, mobil arka uçların bilgisayar korsanlarından gizlendiğini düşünme eğiliminde" dedi.
"Google gibi arama motorları bu API'leri dizine eklemez, bu da yanlış bir güvenlik hissi verir, aslında bu mobil uç noktalar diğer herhangi bir web sitesi kadar savunmasız olabilir."
3. taraf bulut hizmetlerini yapılandırırken ve uygulamalara entegre ederken en iyi uygulamaları takip etmemekle, milyonlarca kullanıcının özel verileri açığa çıktı.
Siber güvenlik firması Lookout'un üst düzey yöneticisi Stephen Banda bir e-posta röportajında Geliştiricilerin yeni özellikleri yazılımlarına hızlı bir şekilde dahil etme baskısı altında olduklarını söyledi.
"Kodları hızlı bir şekilde dağıtmak için kuruluşlar, işlevselliği yükseltmek için otomatik yazılım teslim süreçlerine güveniyor, bulut uygulamalarını güncel tutmak için güvenlik yamaları uyguluyor" diye ekledi.
"Sağlam değişiklik yönetimi ve en iyi güvenlik uygulamaları mevcut olsa bile bu hızda hareket etmek, her kuruluşun bulut uygulamalarına yanlış yapılandırmalar getirme riskiyle karşı karşıya kalması anlamına gelir."
