Una nuova ricerca della società di sicurezza mobile Zimperium ha rilevato che migliaia di app iOS e Android stanno esponendo le informazioni personali degli utenti a causa di servizi cloud configurati in modo errato.
Come riportato da Wired, Zimperium ha analizzato oltre 1,3 milioni di app iOS e Android e ha identificato errori di configurazione dei servizi cloud che hanno portato (e portano…) all’esposizione dei dati degli utenti. Di tutte le app analizzate, 47.000 app iOS e 84.000 app Android hanno utilizzato servizi di cloud pubblici come Amazon Web Services, Google Cloud o Microsoft Azure nel proprio back-end invece di creare i propri server.
La ricerca ha rilevato che almeno il 14% di queste app che utilizzano servizi di cloud pubblici hanno esposto le informazioni personali degli utenti, tra cui password e dati sanitari, a causa di configurazioni errate che consentono agli hacker di accedere e persino di sovrascrivere tali dati.
Il CEO di Zimperium Shridhar Mittal spiega che molti di questi sviluppatori non hanno configurato correttamente il servizio cloud che stanno utilizzando e quindi è difficile evitare violazioni come questa:
I gruppi di hacker eseguono già questo tipo di scansione per trovare configurazioni errate del cloud nei servizi Web. Oltre ai dati sensibili degli utenti, abbiamo trovato anche credenziali di rete, file di configurazione del sistema e chiavi dell’architettura del server in alcuni degli archivi app esposti che gli aggressori potrebbero potenzialmente utilizzare per ottenere un accesso più profondo ai sistemi digitali di un’azienda.
Sebbene i fornitori di servizi cloud come Amazon Web Services dispongano di strumenti per rilevare possibili errori di configurazione, la responsabilità principale per evitare questo tipo di situazione è degli sviluppatori. Sfortunatamente, la maggior parte degli utenti non ha idea che i propri dati possano essere esposti sul Web da app di cui si fidano.
Zimperium ha contattato gli sviluppatori di alcune delle app analizzate, ma la maggior parte di loro non ha risposto alla richiesta di correggere il problema. I ricercatori affermano che nella lista ci sono anche app di aziende molto grandi e importanti, oltre a quelle di piccoli sviluppatori.
I responsabili dello studio sperano che il report condiviso oggi possa rendere più consapevoli gli sviluppatori su come configurare correttamente i servizi cloud nelle loro app.