Data lebih dari 100 juta pengguna Android dapat diretas oleh peretas karena cara perangkat menangani keamanan cloud, menurut laporan yang dikeluarkan Kamis.
Perusahaan keamanan siber, Check Point Research, mengklaim dalam studi tersebut bahwa setidaknya 23 aplikasi seluler populer mengandung "kesalahan konfigurasi" dari layanan cloud pihak ketiga. Perusahaan mengatakan bahwa pengembang beberapa aplikasi tidak memeriksa apakah langkah-langkah keamanan yang dirancang untuk mencegah pelanggaran data diterapkan saat menyinkronkan dengan layanan cloud.
"Dengan tidak mengikuti praktik terbaik saat mengonfigurasi dan mengintegrasikan layanan cloud pihak ketiga ke dalam aplikasi, jutaan data pribadi pengguna terekspos," tulis para peneliti.
"Dalam beberapa kasus, jenis penyalahgunaan ini hanya mempengaruhi pengguna, namun, pengembang juga rentan. Kesalahan konfigurasi menempatkan data pengguna dan sumber daya internal pengembang, seperti akses ke mekanisme pembaruan dan penyimpanan dalam risiko."
Para peneliti memeriksa 23 aplikasi Android, termasuk aplikasi taksi, pembuat logo, perekam layar, layanan faks, dan perangkat lunak astrologi, dan menemukan bahwa mereka membocorkan data, termasuk catatan email, pesan obrolan, informasi lokasi, ID pengguna, kata sandi, dan gambar.
Pakar keamanan siber mengatakan bahwa pengembang seharusnya menyadari kerentanannya.
"Pengembang cenderung berpikir bahwa backend seluler tersembunyi dari peretas," kata Ray Kelly, insinyur keamanan utama di perusahaan keamanan siber WhiteHat Security, dalam sebuah wawancara email.
"Mesin telusur, seperti Google, tidak mengindeks API ini, yang memberikan rasa aman palsu, padahal, titik akhir seluler ini bisa sama rentannya dengan situs web lain mana pun."
Dengan tidak mengikuti praktik terbaik saat mengonfigurasi dan mengintegrasikan layanan cloud pihak ketiga ke dalam aplikasi, jutaan data pribadi pengguna terungkap.
Pengembang berada di bawah tekanan untuk segera memasukkan fitur baru ke dalam perangkat lunak mereka, Stephen Banda, manajer senior di firma keamanan siber Lookout, mengatakan dalam sebuah wawancara email.
"Untuk menyebarkan kode dengan cepat, organisasi mengandalkan proses pengiriman perangkat lunak otomatis untuk meningkatkan fungsionalitas, menerapkan patch keamanan agar aplikasi cloud tetap mutakhir," tambahnya.
"Bergerak dengan kecepatan ini, bahkan dengan manajemen perubahan suara dan praktik terbaik keamanan yang diterapkan, berarti setiap organisasi menghadapi risiko memasukkan kesalahan konfigurasi ke dalam aplikasi cloud mereka."
