Když se řekne bezpečný mobilní operační systém, každému se vybaví ten od Applu. Firma z Cupertina postavila značnou část marketingu na propagování internetové bezpečnosti, jako jednoho ze základních pilířů iOS. Ačkoli se Apple snaží, co to jde, bezpečnost může narušit také třetí strana, tedy vývojář aplikace. V případě Androidu je zodpovědnost na straně uživatele ještě větší.
Bezpečnostní společnost Zimperium provedla výzkum, který měl za cíl zjistit, jak jsou na tom aplikace pro iOS a Android s bezpečností. Analýzu provedla na vzorku 1,3 milionů iOS a Android aplikací, aby odhalila špatně nakonfigurované přístupy ke cloudu, které by teoreticky mohly vyústit v krádež osobních údajů.
„Hackerské skupiny už podobné analýzy dávno provedly. Kromě přístupů k citlivým datům uživatelů jsme odhalili také pochybení, která by mohla vést k napadení celé infrastruktury vývojářů daných aplikací,” řekl generální ředitel firmy Zimperium Shridhar Mittal.
Z celého vzorku odhalili 47 000 aplikací pro iOS a 84 000 aplikací pro Android, které využívaly veřejné cloudové služby jako Amazon Web Services, Google Cloud, či Microsoft Azure, místo vlastních serverů. Z těchto vzorků nejméně 14 % aplikací nechalo vinou špatné konfigurace uživatele na pospas útočníkům, kteří mohli ukrást nebo dokonce přepsat přístupové údaje či data týkající se zdraví.
Nepřehlédněte – Apple začal hackerům rozdávat speciálně upravené iPhony. Cílem je získat lepší zabezpečení
Zimperium celou situaci nenechalo jen tak a některé vývojáře kontaktovalo. Překvapením bylo, že většina na výzvu k napravení situace vůbec nereagovala, přitom zásah pro zajištění větší bezpečnosti uživatelů není nikterak složitý. Zajímavé je, že se neozvali ani vývojáři velkých aplikací.
„Jednou z aplikací byla mobilní peněženka ze seznamu Fortune 500. Pochybení se nevyhnula také aplikace s jízdními řády jednoho velkého města, která špatně chrání platební údaje. Našli jsme rovněž zdravotní aplikace, skrze které šlo získat výsledky testů či dokonce profilové fotografie,” dodává Mittal.
Obzvláště v dnešní době, kdy kvůli pandemii COVID-19 zažíváme rozkvět digitálních služeb, je jistá obezřetnost na místě. Ačkoli na konfiguraci cloudu u aplikací vývojářů třetích stran mnoho vlivu nemáme, nejslabší článek bývá velmi často sám uživatel.
