Die Daten von über 100 Millionen Android-Nutzern könnten Hackern aufgrund eines Fehlers in der Art und Weise, wie die Geräte mit der Cloud-Sicherheit umgehen, ausgesetzt sein, so ein am Donnerstag veröffentlichter Bericht.
Cybersicherheitsunternehmen Check Point Research behauptete in der Studie, dass mindestens 23 beliebte mobile Apps „Fehlkonfigurationen“von Cloud-Diensten von Drittanbietern enth alten. Das Unternehmen sagte, dass Entwickler einiger Apps nicht überprüft haben, ob Sicherheitsmaßnahmen zur Verhinderung von Datenschutzverletzungen bei der Synchronisierung mit Cloud-Diensten vorhanden waren.
"Indem die Best Practices bei der Konfiguration und Integration von Cloud-Diensten Dritter in Anwendungen nicht befolgt wurden, wurden die privaten Daten von Millionen von Benutzern offengelegt", schrieben die Forscher.
"In einigen Fällen betrifft diese Art des Missbrauchs nur die Benutzer, aber auch die Entwickler wurden angreifbar. Die Fehlkonfiguration gefährdet Benutzerdaten und interne Ressourcen des Entwicklers, wie z. B. Zugriff auf Update-Mechanismen und Speicher."
Die Forscher untersuchten 23 Android-Apps, darunter eine Taxi-App, einen Logo-Maker, einen Bildschirmrekorder, einen Faxdienst und eine Astrologie-Software, und stellten fest, dass sie Daten durchsickern ließen, darunter E-Mail-Aufzeichnungen, Chat-Nachrichten, Standortinformationen, Benutzer-IDs, Passwörter und Bilder.
Cybersicherheitsexperten sagen, dass Entwickler sich der Schwachstellen hätten bewusst sein müssen.
"Entwickler neigen dazu zu denken, dass mobile Backends vor Hackern verborgen sind", sagte Ray Kelly, ein leitender Sicherheitsingenieur bei der Cybersicherheitsfirma WhiteHat Security, in einem E-Mail-Interview.
"Suchmaschinen wie Google indizieren diese APIs nicht, was ein falsches Sicherheitsgefühl vermittelt, obwohl diese mobilen Endpunkte tatsächlich genauso anfällig sein können wie jede andere Website."
Durch die Nichtbefolgung bewährter Verfahren bei der Konfiguration und Integration von Cloud-Diensten von Drittanbietern in Anwendungen wurden die privaten Daten von Millionen von Benutzern offengelegt.
Entwickler stehen unter dem Druck, schnell neue Funktionen in ihre Software zu integrieren, sagte Stephen Banda, Senior Manager bei der Cybersicherheitsfirma Lookout, in einem E-Mail-Interview.
"Um Code schnell bereitzustellen, verlassen sich Unternehmen auf automatisierte Softwarebereitstellungsprozesse, um die Funktionalität zu aktualisieren und Sicherheitspatches anzuwenden, um Cloud-Anwendungen auf dem neuesten Stand zu h alten", fügte er hinzu.
"Bei dieser Geschwindigkeit, selbst mit solidem Änderungsmanagement und Best Practices für Sicherheit, läuft jedes Unternehmen Gefahr, Fehlkonfigurationen in seine Cloud-Anwendungen einzuführen."