Para peneliti yang menganalisis beberapa aplikasi Android telah menemukan kesalahan autentikasi cloud serius. Yang mengarah pada potensi paparan data milik lebih dari 100 juta pengguna.
Dalam laporan pada hari Kamis oleh Check Point Research. Perusahaan keamanan siber mengatakan tidak kurang dari 23 aplikasi seluler populer berisi berbagai “kesalahan konfigurasi layanan cloud pihak ketiga.”
Penggunaan layanan cloud oleh layanan dan aplikasi online terbanyak saat ini. Mungkin semakin karena pergeseran cepat ke kerja jarak jauh karena pandemi virus corona.
Meskipun berguna dalam manajemen data, penyimpanan, dan pemrosesan, hanya perlu satu akses. Atau pengawasan otorisasi untuk mengekspos atau membocorkan catatan.
Aplikasi, khususnya, akan sering terintegrasi dengan database real-time untuk menyimpan dan menyinkronkan data di berbagai platform.
Namun, pengembang beberapa aplikasi yang diperiksa gagal memastikan berlakunya mekanisme autentikasi.
Pemeriksaan 23 aplikasi Android yang mengalami kegagalan autentikasi cloud
Menurut CPR, pemeriksaan 23 aplikasi Android — termasuk aplikasi taksi, pembuat logo, perekam layar, layanan faks, dan perangkat lunak astrologi.
Data yang bocor termasuk catatan email, pesan obrolan, informasi lokasi, ID pengguna, kata sandi, dan gambar.
Dalam 13 kasus, data sensitif tersedia untuk umum dalam pengaturan cloud tanpa jaminan. Aplikasi ini menyumbang antara 10.000 dan 10 juta unduhan masing-masing.
Dan menarik pesan yang dikirim antara driver dan pelanggan, nama, nomor telepon, dan lokasi penjemputan dan pengantaran.
Layanan cloud yang menyediakan manajemen data backend untuk aplikasi perekam layar dan faks juga tidak cukup aman.
CPR dapat memulihkan kunci untuk memberikan akses ke rekaman yang tersimpan dan dokumen faks dengan menganalisis file aplikasi.
Penemuan tombol pemberitahuan push di aplikasi, terbiarkan terbuka untuk penyalahgunaan. Jika layanan push tereksploitasi, mereka dapat fungsikan untuk mengirim peringatan berbahaya kepada pengguna aplikasi.
Para peneliti mengatakan kegagalan autentikasi cloud ini karena pengembang yang gagal mengikuti “praktik terbaik saat mengonfigurasi dan mengintegrasikan layanan cloud pihak ketiga ke dalam aplikasi mereka.”
“Kesalahan konfigurasi database real-time ini bukan hal baru. Tetapi ruang lingkup masalah masih terlalu luas dan mempengaruhi jutaan pengguna,” kata CPR.
“Jika aktor jahat mendapatkan akses ke data ini, itu berpotensi mengakibatkan service-swipe. (Mencoba menggunakan kombinasi kata sandi nama pengguna yang sama pada layanan lain), penipuan, dan pencurian identitas.”
CPR memberi tahu pengembang aplikasi tentang kesalahan konfigurasi sebelum pengungkapan dan beberapa telah memperketat kontrol mereka.
Awal bulan ini, para peneliti menerbitkan penasihat tentang layanan data MSM Qualcomm. Dan penemuan kerentanan yang secara teoritis dapat digunakan untuk mengutak-atik dan menyuntikkan kode berbahaya ke modem handset Android.
