Ugroženi podaci 100 miliona korisnika Androida zbog neispravne "cloud" sinhronizacije

Potencijalno kršenje se prvenstveno svodi na upotrebu pristupa bazi podataka u realnom vremenu, uslugu koja programerima omogućava skladištenje podataka u oblaku. Istraživači su otkrili da mogu da povrate osetljive informacije, uključujući adrese e-pošte, lozinke, privatnu razmenu poruka, lokaciju uređaja, korisničke identifikatore i još mnogo toga, a sve zato što aplikacije nisu obezbeđivale pristup između aplikacije i baze podataka u oblaku.

Personal data of over 100 million users is exposed by 23 #Android apps on the #Google Play Store, potentially making them a lucrative target for malicious actors.https://t.co/ECAK4ohxVD#infosec #databreack #privacy #hacking

— The Hacker News (@TheHackersNews) May 20, 2021

Jedan od primera je aplikacija nazvana Astro Guru, koja je opisana kao popularna aplikacija za astrologiju, horoskop i hiromantiju sa više od 10 miliona preuzimanja. Istraživači su mogli da pristupei ličnim podacima, uključujući detalje o plaćanju, zbog nesigurnog načina "cloud" sinhronizacije podataka.

Istraživači su primetili da, iako je skladištenje u oblaku na mobilnim aplikacijama elegantno rešenje za pristup datotekama, mogu postojati ozbiljne implikacije ako programeri ugrade tajne i pristupne ključeve iste usluge u svoje aplikacije.

Ray Kelly, glavni inženjer bezbednosti u kompaniji WhiteHat Security Inc, koja se bavi bezbednošću aplikacija u oblaku, primetio je da programeri imaju tendenciju da misle da pozadinski procesi skriveni od hakera, što je u industriji sajber-bezbednosti poznato kao "bezbednost kroz nejasnoće".

"To je slično skrivanju ključa kuće ispod otirača i mišljenju da je vaša kuća sigurna", rekla je Kelly. "Da bi se osiguralo da je mobilna aplikacija bezbedna, potrebno je da se binarni i mrežni podaci, pozadinska memorija i API aplikacije temeljno testiraju na sigurnosne propuste koji mogu dovesti do problema kao što je curenje podataka."