Istraživači kompanije Check Point Software Technologies Ltd, naveli su da se incident odnosi na 23 popularne aplikacije koje dovode u opasnost lične podatke korisnika putem internih resursa programera, poput pristupa mehanizmima za ažuriranje i skladištenju.
Potencijalno kršenje se prvenstveno svodi na upotrebu pristupa bazi podataka u realnom vremenu, uslugu koja programerima omogućava skladištenje podataka u oblaku. Istraživači su otkrili da mogu da povrate osjetljive informacije, uključujući adrese e-pošte, lozinke, privatnu razmjenu poruka, lokaciju uređaja, korisničke identifikatore i još mnogo toga, a sve zato što aplikacije nisu obezbjeđivale pristup između aplikacije i baze podataka u oblaku.
Personal data of over 100 million users is exposed by 23 #Android apps on the #Google Play Store, potentially making them a lucrative target for malicious actors.https://t.co/ECAK4ohxVD#infosec #databreack #privacy #hacking
— The Hacker News (@TheHackersNews) May 20, 2021
Jedan od primjera je aplikacija nazvana Astro Guru, koja je opisana kao popularna aplikacija za astrologiju, horoskop i hiromantiju sa više od 10 miliona preuzimanja. Istraživači su mogli da pristupe i ličnim podacima, uključujući detalje o plaćanju, zbog nesigurnog načina „cloud“ sinhronizacije podataka.
Istraživači su primijetili da, iako je skladištenje u oblaku na mobilnim aplikacijama elegantno rješenje za pristup datotekama, mogu postojati ozbiljne implikacije ako programeri ugrade tajne i pristupne ključeve iste usluge u svoje aplikacije.
Ray Kelly, glavni inženjer bezbjednosti u kompaniji WhiteHat Security Inc, koja se bavi bezbjednošću aplikacija u oblaku, primjetio je da programeri imaju tendenciju da misle da pozadinski procesi skriveni od hakera, što je u industriji sajber-bezbjednosti poznato kao „bezbjednost kroz nejasnoće“.
„To je slično skrivanju ključa kuće ispod otirača i mišljenju da je vaša kuća sigurna“, rekla je Kelly. „Da bi se osiguralo da je mobilna aplikacija bezbjedna, potrebno je da se binarni i mrežni podaci, pozadinska memorija i API aplikacije temeljno testiraju na sigurnosne propuste koji mogu dovesti do problema kao što je curenje podataka.“
Izvor: B92
