Android-ի ավելի քան 100 միլիոն օգտատերերի տվյալները կարող են ենթարկվել հաքերների՝ սարքերի ամպային անվտանգության հետ կապված թերության պատճառով, ասվում է հինգշաբթի հրապարակված զեկույցում:
Կիբերանվտանգության Check Point Research ընկերությունը հետազոտության մեջ պնդում է, որ առնվազն 23 հայտնի բջջային հավելվածներ պարունակում են երրորդ կողմի ամպային ծառայությունների «սխալ կազմաձևումներ»: Ընկերությունն ասել է, որ որոշ հավելվածների մշակողները չեն ստուգում, թե արդյոք անվտանգության միջոցները, որոնք նախատեսված են տվյալների խախտումները կանխելու համար, ամպային ծառայությունների հետ համաժամանակացնելու ժամանակ գոյություն ունեն:
«Չհետևելով լավագույն փորձին երրորդ կողմի ամպային ծառայությունները հավելվածներում կարգավորելիս և ինտեգրելիս՝ բացահայտվեցին միլիոնավոր օգտատերերի անձնական տվյալները», - գրում են հետազոտողները:
«Որոշ դեպքերում չարաշահումների այս տեսակը ազդում է միայն օգտատերերի վրա, սակայն մշակողները նույնպես խոցելի են մնացել: Սխալ կազմաձևումը վտանգի տակ է դնում օգտատերերի տվյալները և մշակողի ներքին ռեսուրսները, ինչպիսիք են թարմացման մեխանիզմների և պահեստավորման հասանելիությունը: «
Հետազոտողները ուսումնասիրել են 23 Android հավելվածներ, այդ թվում՝ տաքսի հավելված, լոգոներ արտադրող, էկրանի ձայնագրիչ, ֆաքսի ծառայություն և աստղագուշակության ծրագրակազմ, և պարզել են, որ դրանք արտահոսում են տվյալներ, այդ թվում՝ էլ. գաղտնաբառեր և պատկերներ։
Կիբերանվտանգության փորձագետներն ասում են, որ մշակողները պետք է տեղյակ լինեին խոցելիության մասին:
«Կարգավորողները հակված են կարծելու, որ բջջային կապերը թաքցված են հաքերներից», - ասաց Ռեյ Քելլին, կիբերանվտանգության ընկերության WhiteHat Security ընկերության գլխավոր անվտանգության ինժեները էլեկտրոնային փոստի հարցազրույցում::
«Որոնման համակարգերը, ինչպիսին է Google-ը, չեն ինդեքսավորում այս API-ները, ինչը տալիս է անվտանգության կեղծ զգացում, երբ իրականում այս շարժական վերջնակետերը կարող են նույնքան խոցելի լինել, որքան ցանկացած այլ կայք»:
Չհետևելով լավագույն փորձին երրորդ կողմի ամպային ծառայությունները հավելվածներում կարգավորելիս և ինտեգրելիս՝ բացահայտվեցին միլիոնավոր օգտատերերի անձնական տվյալները:
Կարգավորողները ճնշման տակ են՝ արագորեն նոր հնարավորություններ ներդնելու իրենց ծրագրաշարի մեջ, ասել է Lookout կիբերանվտանգության ընկերության ավագ մենեջեր Սթիվեն Բանդան էլփոստի հարցազրույցում:
«Կոդն արագ տեղակայելու համար կազմակերպությունները հիմնվում են ավտոմատացված ծրագրային ապահովման առաքման գործընթացների վրա՝ ֆունկցիոնալությունը թարմացնելու համար, կիրառում են անվտանգության պատչեր՝ ամպային հավելվածները թարմացնելու համար», - ավելացրեց նա::
«Այս արագությամբ շարժվելը, նույնիսկ ձայնային փոփոխությունների կառավարման և անվտանգության լավագույն փորձի առկայության դեպքում, նշանակում է, որ յուրաքանչյուր կազմակերպություն սպառնում է սխալ կազմաձևումներ մտցնել իր ամպային հավելվածներում»:
