ข้อมูลของผู้ใช้ Android กว่า 100 ล้านคนอาจถูกแฮ็กเกอร์ เนื่องจากมีข้อบกพร่องในวิธีที่อุปกรณ์จัดการกับความปลอดภัยบนคลาวด์ ตามรายงานที่ออกเมื่อวันพฤหัสบดี
บริษัทรักษาความปลอดภัยทางไซเบอร์ Check Point Research อ้างในการศึกษาว่าแอพมือถือยอดนิยมอย่างน้อย 23 แอพมี "การกำหนดค่าที่ไม่ถูกต้อง" ของบริการคลาวด์ของบุคคลที่สาม บริษัทกล่าวว่านักพัฒนาของแอพบางตัวไม่ได้ตรวจสอบว่ามีมาตรการรักษาความปลอดภัยที่ออกแบบมาเพื่อป้องกันการละเมิดข้อมูลเมื่อทำการซิงโครไนซ์กับบริการคลาวด์หรือไม่
"การไม่ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเมื่อกำหนดค่าและรวมบริการคลาวด์ของบุคคลที่สามเข้ากับแอปพลิเคชัน ข้อมูลส่วนตัวของผู้ใช้นับล้านถูกเปิดเผย" นักวิจัยเขียน
"ในบางกรณี การใช้ในทางที่ผิดประเภทนี้มีผลกับผู้ใช้เท่านั้น อย่างไรก็ตาม นักพัฒนาซอฟต์แวร์ก็มีความเสี่ยงเช่นกัน การกำหนดค่าผิดพลาดทำให้ข้อมูลของผู้ใช้และทรัพยากรภายในของนักพัฒนาซอฟต์แวร์ เช่น การเข้าถึงกลไกการอัปเดตและพื้นที่เก็บข้อมูลมีความเสี่ยง"
นักวิจัยตรวจสอบแอป Android 23 แอป ได้แก่ แอปแท็กซี่ โปรแกรมสร้างโลโก้ เครื่องบันทึกหน้าจอ บริการแฟกซ์ และซอฟต์แวร์โหราศาสตร์ และพบว่ามีการรั่วไหลของข้อมูล รวมถึงบันทึกอีเมล ข้อความแชท ข้อมูลตำแหน่ง ID ผู้ใช้ รหัสผ่าน และรูปภาพ
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กล่าวว่านักพัฒนาซอฟต์แวร์ควรตระหนักถึงช่องโหว่นี้
"นักพัฒนามักจะคิดว่าแบ็กเอนด์บนมือถือถูกซ่อนจากแฮกเกอร์" Ray Kelly วิศวกรความปลอดภัยหลักที่ WhiteHat Security บริษัทรักษาความปลอดภัยในโลกไซเบอร์ กล่าวในการสัมภาษณ์ทางอีเมล
"เสิร์ชเอนจิน เช่น Google จะไม่สร้างดัชนี API เหล่านี้ ซึ่งทำให้เกิดความปลอดภัยที่ผิดพลาด เมื่ออุปกรณ์เคลื่อนที่เหล่านี้มีจุดอ่อนพอๆ กับเว็บไซต์อื่นๆ"
การไม่ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเมื่อกำหนดค่าและรวมบริการคลาวด์ของบุคคลที่สามเข้ากับแอปพลิเคชัน ข้อมูลส่วนตัวของผู้ใช้นับล้านถูกเปิดเผย
นักพัฒนาอยู่ภายใต้แรงกดดันที่จะรวมคุณสมบัติใหม่เข้ากับซอฟต์แวร์อย่างรวดเร็ว Stephen Banda ผู้จัดการอาวุโสของ Lookout บริษัทรักษาความปลอดภัยทางไซเบอร์กล่าวในการสัมภาษณ์ทางอีเมล
"ในการปรับใช้โค้ดอย่างรวดเร็ว องค์กรต่างๆ อาศัยกระบวนการจัดส่งซอฟต์แวร์อัตโนมัติเพื่ออัปเกรดฟังก์ชัน ใช้แพตช์ความปลอดภัยเพื่อให้แอปพลิเคชันระบบคลาวด์อัปเดตอยู่เสมอ" เขากล่าวเสริม
"เคลื่อนที่ด้วยความเร็วขนาดนี้ แม้ว่าจะมีการจัดการการเปลี่ยนแปลงด้านเสียงและแนวทางปฏิบัติด้านความปลอดภัยที่ดีอยู่แล้ว หมายความว่าทุกองค์กรมีความเสี่ยงที่จะแนะนำการกำหนดค่าที่ไม่ถูกต้องลงในแอปพลิเคชันระบบคลาวด์ของตน"
