Torstaina julkaistun raportin mukaan yli 100 miljoonan Android-käyttäjän tiedot voivat altistua hakkereille, koska laitteet käsittelevät pilviturvallisuutta. Kyberturvallisuusyritys Check Point Research väitti tutkimuksessa, että ainakin 23 suosittua mobiilisovellusta sisälsi kolmannen osapuolen pilvipalveluiden «virheellisiä määrityksiä». Yhtiö sanoi, että joidenkin sovellusten kehittäjät eivät tarkistaneet käytössä olevia suojatoimenpiteitä tietovuodojen estämiseksi synkronoitaessa pilvipalvelujen kanssa.
«Jos ei noudattanut parhaita käytäntöjä määritettäessä ja integroitaessa kolmannen osapuolen pilvipalveluita sovelluksiin, miljoonien käyttäjien yksityiset tiedot paljastettiin», tutkijat kirjoittivat. «Joissakin tapauksissa tällainen hyväksikäyttö vaikuttaa vain käyttäjiin, mutta myös kehittäjät olivat haavoittuvia. Virheellinen määritys vaarantaa käyttäjien tiedot ja kehittäjän sisäiset resurssit, kuten pääsyn päivitysmekanismeihin ja tallennustilaan.» Tutkijat tutkivat 23 Android-sovellusta, mukaan lukien taksisovellus, logovalmistaja, näytön tallennin, faksipalvelu ja astrologiaohjelmisto, ja havaitsivat, että ne vuotivat tietoja, kuten sähköpostitietueita, pikaviestejä, sijaintitietoja, käyttäjätunnuksia, salasanoja ja kuvia. Kyberturvallisuusasiantuntijoiden mukaan kehittäjien olisi pitänyt olla tietoisia haavoittuvuuksista. «Kehittäjät ajattelevat, että mobiilitaustajärjestelmät ovat piilossa hakkereilta», Ray Kelly, kyberturvallisuusyrityksen WhiteHat Securityn turvallisuusinsinööri, sanoi sähköpostihaastattelussa. «Hakukoneet, kuten Google, eivät indeksoi näitä sovellusliittymiä, mikä antaa väärän turvallisuuden tunteen, vaikka itse asiassa nämä mobiilipäätepisteet voivat olla yhtä haavoittuvia kuin mikä tahansa muu verkkosivusto.» «Jos ei noudattanut parhaita käytäntöjä määritettäessä ja integroitaessa kolmannen osapuolen pilvipalveluita sovelluksiin, miljoonien käyttäjien yksityiset tiedot paljastettiin.» Kehittäjillä on paineita sisällyttää nopeasti uusia ominaisuuksia ohjelmistoonsa, kyberturvallisuusyhtiö Lookoutin vanhempi johtaja Stephen Banda sanoi sähköpostihaastattelussa. «Ottaakseen koodin käyttöön nopeasti organisaatiot luottavat automaattisiin ohjelmistotoimitusprosesseihin päivittääkseen toimintoja ja asentaakseen tietoturvakorjauksia pitääkseen pilvisovellukset ajan tasalla», hän lisäsi. «Tällä nopeudella liikkuminen, jopa järkevällä muutoksenhallinnan ja turvallisuuden parhailla käytännöillä, asettaa kaikki organisaatiot vaaraan joutua virheellisiin määrityksiin pilvisovelluksiinsa.»