Android-ის 100 მილიონზე მეტი მომხმარებლის მონაცემები შესაძლოა ჰაკერების წინაშე აღმოჩნდეს მოწყობილობების ღრუბლის უსაფრთხოებასთან დაკავშირებული ხარვეზის გამო, ნათქვამია ხუთშაბათს გამოქვეყნებულ მოხსენებაში.
კიბერუსაფრთხოების ფირმა Check Point Research-მა გამოაცხადა კვლევაში, რომ სულ მცირე 23 პოპულარული მობილური აპლიკაცია შეიცავს მესამე მხარის ღრუბლოვან სერვისების "არასწორ კონფიგურაციას". კომპანიამ განაცხადა, რომ ზოგიერთი აპლიკაციის დეველოპერებმა არ შეამოწმეს, იყო თუ არა უსაფრთხოების ზომები, რომლებიც შექმნილია მონაცემთა დარღვევის თავიდან ასაცილებლად ღრუბლოვან სერვისებთან სინქრონიზაციისას.
"საუკეთესო პრაქტიკის შეუსრულებლობით მესამე მხარის ღრუბლოვანი სერვისების აპლიკაციებში კონფიგურაციისა და ინტეგრაციისას, მილიონობით მომხმარებლის პირადი მონაცემები გამოაშკარავდა," წერენ მკვლევარები.
"ზოგიერთ შემთხვევაში, ამ ტიპის არასათანადო გამოყენება გავლენას ახდენს მხოლოდ მომხმარებლებზე, თუმცა, დეველოპერები ასევე დაუცველები დარჩნენ. არასწორი კონფიგურაცია საფრთხეს უქმნის მომხმარებლების მონაცემებსა და დეველოპერის შიდა რესურსებს, როგორიცაა განახლების მექანიზმებზე წვდომა და მეხსიერება."
მკვლევარებმა გამოიკვლიეს 23 Android აპი, მათ შორის ტაქსის აპი, ლოგოს შემქმნელი, ეკრანის ჩამწერი, ფაქსის სერვისი და ასტროლოგიის პროგრამული უზრუნველყოფა და დაადგინეს, რომ მათ გაჟონეს მონაცემები, მათ შორის ელფოსტის ჩანაწერები, ჩეთის შეტყობინებები, მდებარეობის ინფორმაცია, მომხმარებლის ID. პაროლები და სურათები.
კიბერუსაფრთხოების ექსპერტები ამბობენ, რომ დეველოპერებმა უნდა იცოდნენ დაუცველობის შესახებ.
"დეველოპერები, როგორც წესი, ფიქრობენ, რომ მობილური ბექენდები დამალულია ჰაკერებისგან", - თქვა რეი კელიმ, კიბერუსაფრთხოების ფირმის WhiteHat Security-ის მთავარმა ინჟინერმა ელექტრონული ფოსტის ინტერვიუში.
"საძიებო სისტემები, როგორიცაა Google, არ ახდენს ამ API-ების ინდექსირებას, რაც იძლევა უსაფრთხოების ცრუ განცდას, როდესაც, ფაქტობრივად, ეს მობილური ბოლო წერტილები შეიძლება იყოს ისეთივე დაუცველი, როგორც ნებისმიერი სხვა ვებსაიტი."
მე-3 მხარის ღრუბლოვანი სერვისების აპლიკაციებში კონფიგურაციისა და ინტეგრირებისას საუკეთესო პრაქტიკის შეუსრულებლობის გამო, მილიონობით მომხმარებლის პირადი მონაცემები გამოვლინდა.
დეველოპერები იმყოფებიან ზეწოლის ქვეშ, რომ სწრაფად დანერგონ ახალი ფუნქციები მათ პროგრამულ უზრუნველყოფაში, თქვა სტივენ ბანდამ, კიბერუსაფრთხოების ფირმა Lookout-ის უფროსმა მენეჯერმა ელფოსტის ინტერვიუში.
"კოდის სწრაფად გამოსაყენებლად, ორგანიზაციები ეყრდნობიან პროგრამული უზრუნველყოფის მიწოდების ავტომატიზებულ პროცესებს ფუნქციონირების განახლებისთვის, იყენებენ უსაფრთხოების პატჩებს ღრუბლოვანი აპლიკაციების განახლების შესანარჩუნებლად," დასძინა მან.
"ამ სიჩქარით მოძრაობა, ხმის ცვლილების მართვისა და უსაფრთხოების საუკეთესო პრაქტიკის პირობებშიც კი, ნიშნავს, რომ ყველა ორგანიზაცია ემუქრება არასწორი კონფიგურაციის დანერგვის რისკს თავის ღრუბლოვან აპლიკაციებში."
