Data lebih 100 juta pengguna Android boleh terdedah kepada penggodam disebabkan oleh kecacatan dalam cara peranti mengendalikan keselamatan awan, menurut laporan yang dikeluarkan Khamis.
firma keselamatan siber Check Point Research mendakwa dalam kajian itu bahawa sekurang-kurangnya 23 apl mudah alih popular mengandungi "salah konfigurasi" perkhidmatan awan pihak ketiga. Syarikat itu berkata bahawa pembangun beberapa apl tidak menyemak sama ada langkah keselamatan yang direka untuk mengelakkan pelanggaran data telah dilaksanakan semasa menyegerakkan dengan perkhidmatan awan.
"Dengan tidak mengikuti amalan terbaik semasa mengkonfigurasi dan menyepadukan perkhidmatan awan pihak ketiga ke dalam aplikasi, berjuta-juta data peribadi pengguna telah terdedah," tulis para penyelidik.
"Dalam sesetengah kes, jenis penyalahgunaan ini hanya memberi kesan kepada pengguna, namun, pembangun juga dibiarkan terdedah. Salah konfigurasi meletakkan data pengguna dan sumber dalaman pembangun, seperti akses kepada mekanisme kemas kini dan storan berisiko."
Para penyelidik meneliti 23 apl Android, termasuk apl teksi, pembuat logo, perakam skrin, perkhidmatan faks dan perisian astrologi, dan mendapati mereka membocorkan data, termasuk rekod e-mel, mesej sembang, maklumat lokasi, ID pengguna, kata laluan dan imej.
Pakar keselamatan siber mengatakan bahawa pembangun sepatutnya sedar tentang kelemahan itu.
"Pembangun cenderung berfikir bahawa bahagian belakang mudah alih disembunyikan daripada penggodam, " kata Ray Kelly, seorang jurutera keselamatan utama di firma keselamatan siber WhiteHat Security, dalam temu bual e-mel.
"Enjin carian, seperti Google, tidak mengindeks API ini, yang memberikan rasa keselamatan palsu apabila, sebenarnya, titik akhir mudah alih ini boleh terdedah sama seperti mana-mana tapak web lain."
Dengan tidak mengikuti amalan terbaik semasa mengkonfigurasi dan menyepadukan perkhidmatan awan pihak ketiga ke dalam aplikasi, berjuta-juta data peribadi pengguna telah terdedah.
Pembangun berada di bawah tekanan untuk memasukkan ciri baharu dengan pantas ke dalam perisian mereka, Stephen Banda, pengurus kanan di firma keselamatan siber Lookout, berkata dalam temu bual e-mel.
"Untuk menggunakan kod dengan cepat, organisasi bergantung pada proses penghantaran perisian automatik untuk meningkatkan kefungsian, menggunakan tampung keselamatan untuk memastikan aplikasi awan sentiasa dikemas kini," tambahnya.
"Bergerak pada kelajuan ini, walaupun dengan pengurusan perubahan yang kukuh dan amalan terbaik keselamatan, bermakna setiap organisasi menghadapi risiko untuk memperkenalkan salah konfigurasi ke dalam aplikasi awan mereka."
