Ang data ng mahigit 100 milyong Android user ay maaaring malantad sa mga hacker dahil sa isang depekto sa paraan ng paghawak ng mga device sa cloud security, ayon sa isang ulat na inilabas noong Huwebes.
Cybersecurity firm na Check Point Research ay inaangkin sa pag-aaral na hindi bababa sa 23 sikat na mobile app ang naglalaman ng "mga maling pagsasaayos" ng mga third-party na serbisyo sa cloud. Sinabi ng kumpanya na ang mga developer ng ilan sa mga app ay hindi nagsuri kung ang mga hakbang sa seguridad na idinisenyo upang maiwasan ang mga paglabag sa data ay inilagay kapag nagsi-synchronize sa mga serbisyo ng cloud.
"Sa pamamagitan ng hindi pagsunod sa pinakamahuhusay na kagawian kapag nagko-configure at nagsasama ng mga third party na serbisyo sa cloud sa mga application, nalantad ang milyun-milyong pribadong data ng mga user," isinulat ng mga mananaliksik.
"Sa ilang mga kaso, ang ganitong uri ng maling paggamit ay nakakaapekto lamang sa mga user, gayunpaman, ang mga developer ay hinayaan ding masugatan. Ang maling configuration ay naglalagay sa data ng mga user at mga panloob na mapagkukunan ng developer, tulad ng pag-access sa pag-update ng mga mekanismo at storage sa panganib."
Sinuri ng mga mananaliksik ang 23 Android app, kabilang ang isang taxi app, logo maker, screen recorder, fax service, at astrology software, at nalaman nilang nag-leak sila ng data, kabilang ang mga email record, chat message, impormasyon ng lokasyon, user ID, mga password, at mga larawan.
Sinasabi ng mga eksperto sa cybersecurity na dapat ay alam ng mga developer ang mga kahinaan.
"May posibilidad na isipin ng mga developer na ang mga mobile backend ay nakatago mula sa mga hacker," sabi ni Ray Kelly, isang principal security engineer sa cybersecurity firm na WhiteHat Security, sa isang email interview.
"Hindi ini-index ng mga search engine, gaya ng Google, ang mga API na ito, na nagbibigay ng maling pakiramdam ng seguridad kapag, sa katunayan, ang mga mobile endpoint na ito ay maaaring maging kasing bulnerable ng anumang iba pang website."
Sa pamamagitan ng hindi pagsunod sa mga pinakamahuhusay na kagawian kapag nagko-configure at nagsasama ng mga serbisyo ng cloud ng 3rd party sa mga application, nalantad ang pribadong data ng milyun-milyong user.
Napi-pressure ang mga developer na mabilis na isama ang mga bagong feature sa kanilang software, sinabi ni Stephen Banda, isang senior manager sa cybersecurity firm na Lookout, sa isang panayam sa email.
"Para mabilis na mag-deploy ng code, umaasa ang mga organisasyon sa mga automated na proseso ng paghahatid ng software para mag-upgrade ng functionality, maglapat ng mga security patch para mapanatiling napapanahon ang mga cloud application," dagdag niya.
"Ang paglipat sa ganitong bilis, kahit na may maayos na pamamahala sa pagbabago at pinakamahuhusay na kagawian sa seguridad, ay nangangahulugan na ang bawat organisasyon ay may panganib na magpasok ng mga maling pagsasaayos sa kanilang mga cloud application."
