Det er en kjent sak at mange mobilapplikasjoner er mangelfulle når det gjelder sikkerhet og personvern, men nå har det dukket opp en ny app-relatert sikkerhetstrussel som hittil ikke har fått så mye omtale.
Sikkerhetsselskapet Zimperium (via Wired) rapporterer nemlig at mange tusen apper til både iOS- og Android-plattformen har en alvorlig sårbarhet i måten de bruker nettskyen på.
Dårlig konfigurering fører til datalekkasje
Selskapet utførte en analyse som viste at et stort antall applikasjoner benytter seg av offentlige skytjenester som Amazon Web Services, Google Cloud eller Microsoft Azure for lagring av informasjon i stedet for å bruke egne serverløsninger.
Det selskapet videre fant ut var at svært mange app-utviklere er skyldige i feilkonfigurering av skylagringen, noe som kan føre til eksponering av flere typer sensitiv informasjon som passord og personopplysninger.
I noen tilfeller fant forskerne apper som til og med lekket medisinske data og finansiell informasjon som kan brukes til å utføre svindel mot brukere. Flere apper som brukte Googles og Amazons skylagringsløsninger hadde informasjon tilgjengelig uten noen sikkerhet overhodet, ifølge Zimperium.
Totalt 1,3 millioner apper var omfattet av selskapets analyser, og av disse fant man 84 000 Android-apper og 47 000 iOS-apper som brukte offentlige skytjenester. Forskerne fant feilkonfigurasjoner i 14 prosent av disse – 11 877 Android-apper og 6608 iOS-apper.
Problemet er med andre ord temmelig omfattende.
Laber respons fra utviklerne
– Det er en urovekkende trend. Mange av disse appene har skylagring som ikke var konfigurert skikkelig av utvikleren eller hvem det var som satte det opp, og på grunn av det er data synlig for nesten hvem som helst. Og de fleste av oss har noen av disse appene nå, sa Zimperium-sjefen Shridhar Mittal til Wired.
Blant appene som opererer med usikret skylagring er det business-apper som er den største kategorien. Business-apper utgjorde 17,6 prosent av totalen, og blant de andre store kategoriene finner vi apper relatert til shopping og kommunikasjon, samt sosiale apper.
Mange av appene i undersøkelsen er fremdeles sårbare for lekkasjer, og Zimperium har derfor ikke offentliggjort navnet på applikasjonene i sin rapport.
Forskerne skal ha kontaktet noen av utviklerne bak appene som hadde sårbarheten, men responsen var heller laber.
Det store antallet apper gjør det krevende å kontakte alle de aktuelle utviklerne, men Zimperium-sjefen håper at økt bevisstgjøring rundt problemet kan bidra til at utviklere blir mer oppmerksomme på infrastrukturen som benyttes i app-utviklingen for å sikre den bedre.
Flere detaljer om funnene finner du i selve rapporten hos Zimperium.
Forskere fant svak bruk av krypto i nesten alle populære Android-apper