Les dades de més de 100 milions d'usuaris d'Android podrien estar exposades a pirates informàtics a causa d'una fallada en la manera com els dispositius gestionen la seguretat al núvol, segons un informe publicat dijous.
La firma de ciberseguretat Check Point Research va afirmar en l'estudi que almenys 23 aplicacions mòbils populars contenen "configuracions incorrectes" dels serveis al núvol de tercers. L'empresa va dir que els desenvolupadors d'algunes de les aplicacions no van comprovar si hi havia mesures de seguretat dissenyades per evitar violacions de dades quan es sincronitzaven amb serveis al núvol.
"En no seguir les millors pràctiques a l'hora de configurar i integrar serveis al núvol de tercers a les aplicacions, es van exposar les dades privades de milions d'usuaris", van escriure els investigadors.
"En alguns casos, aquest tipus d'ús indegut només afecta els usuaris, però els desenvolupadors també es van deixar vulnerables. La configuració incorrecta posa en risc les dades dels usuaris i els recursos interns del desenvolupador, com ara l'accés als mecanismes d'actualització i l'emmagatzematge."
Els investigadors van examinar 23 aplicacions d'Android, inclosa una aplicació de taxi, un creador de logotips, una gravadora de pantalla, un servei de fax i un programari d'astrologia, i van trobar que filtraven dades, inclosos registres de correu electrònic, missatges de xat, informació d'ubicació, identificadors d'usuari, contrasenyes i imatges.
Els experts en ciberseguretat diuen que els desenvolupadors haurien d'haver estat conscients de les vulnerabilitats.
"Els desenvolupadors tendeixen a pensar que els backends mòbils estan ocults als pirates informàtics", va dir Ray Kelly, enginyer de seguretat principal de l'empresa de ciberseguretat WhiteHat Security, en una entrevista per correu electrònic.
"Els motors de cerca, com ara Google, no indexen aquestes API, la qual cosa dóna una falsa sensació de seguretat quan, de fet, aquests terminals mòbils poden ser tan vulnerables com qualsevol altre lloc web."
En no seguir les millors pràctiques a l'hora de configurar i integrar serveis al núvol de tercers a les aplicacions, es van exposar les dades privades de milions d'usuaris.
Els desenvolupadors estan sota pressió per incorporar ràpidament noves funcions al seu programari, va dir Stephen Banda, director sènior de la firma de ciberseguretat Lookout, en una entrevista per correu electrònic.
"Per implementar codi ràpidament, les organitzacions confien en processos de lliurament de programari automatitzats per actualitzar la funcionalitat, apliquen pedaços de seguretat per mantenir les aplicacions al núvol actualitzades", va afegir.
"En moure's a aquesta velocitat, fins i tot amb una bona gestió dels canvis i les millors pràctiques de seguretat, significa que totes les organitzacions corren el risc d'introduir configuracions incorrectes a les seves aplicacions al núvol."
