قد تتعرض بيانات أكثر من 100 مليون مستخدم Android للمتسللين بسبب خلل في طريقة تعامل الأجهزة مع أمان السحابة ، وفقًا لتقرير صدر يوم الخميس.
زعمت شركة الأمن السيبراني Check Point Research في الدراسة أن ما لا يقل عن 23 تطبيقًا مشهورًا للهاتف المحمول تحتوي على "تكوينات خاطئة" لخدمات السحابة الخارجية. قالت الشركة إن مطوري بعض التطبيقات لم يتحققوا مما إذا كانت الإجراءات الأمنية المصممة لمنع انتهاكات البيانات موجودة عند المزامنة مع الخدمات السحابية.
كتب الباحثون: "من خلال عدم اتباع أفضل الممارسات عند تكوين ودمج الخدمات السحابية لجهات خارجية في التطبيقات ، تم الكشف عن الملايين من بيانات المستخدمين الخاصة".
"في بعض الحالات ، يؤثر هذا النوع من سوء الاستخدام على المستخدمين فقط ، ومع ذلك ، فقد ترك المطورون أيضًا عرضة للخطر. يؤدي التهيئة الخاطئة إلى تعريض بيانات المستخدمين والموارد الداخلية للمطور ، مثل الوصول إلى آليات التحديث والتخزين للخطر."
قام الباحثون بفحص 23 تطبيق Android ، بما في ذلك تطبيق سيارات الأجرة ، وصانع الشعارات ، ومسجل الشاشة ، وخدمة الفاكس ، وبرامج التنجيم ، ووجدوا أنهم قاموا بتسريب البيانات ، بما في ذلك سجلات البريد الإلكتروني ، ورسائل الدردشة ، ومعلومات الموقع ، ومعرفات المستخدم ، كلمات المرور والصور.
يقول خبراء الأمن السيبراني إن المطورين يجب أن يكونوا على دراية بالثغرات الأمنية.
قال راي كيلي ، مهندس الأمن الرئيسي في شركة الأمن السيبراني WhiteHat Security ، في مقابلة عبر البريد الإلكتروني:"يميل المطورون إلى الاعتقاد بأن الخلفية للهواتف المحمولة مخفية عن المتسللين".
"لا تقوم محركات البحث ، مثل Google ، بفهرسة واجهات برمجة التطبيقات هذه ، مما يعطي إحساسًا زائفًا بالأمان في حين أن نقاط النهاية المحمولة هذه ، في الواقع ، يمكن أن تكون عرضة للخطر مثل أي موقع ويب آخر."
من خلال عدم اتباع أفضل الممارسات عند تكوين خدمات السحابة الخارجية ودمجها في التطبيقات ، تم الكشف عن الملايين من بيانات المستخدمين الخاصة.
قال ستيفن باندا ، كبير المديرين في شركة الأمن السيبراني Lookout ، في مقابلة عبر البريد الإلكتروني ،يتعرض المطورون لضغوط لدمج ميزات جديدة بسرعة في برامجهم.
"لنشر التعليمات البرمجية بسرعة ، تعتمد المؤسسات على عمليات تسليم البرامج المؤتمتة لترقية الوظائف ، وتطبيق تصحيحات الأمان للحفاظ على تحديث التطبيقات السحابية ،" أضاف.
"التحرك بهذه السرعة ، حتى مع تطبيق أفضل ممارسات الأمان وإدارة التغيير السليم ، يعني أن كل مؤسسة تتعرض لخطر إدخال تكوينات خاطئة في تطبيقاتها السحابية."
