Data från över 100 miljoner Android-användare kan exponeras för hackare på grund av ett fel i hur enheterna hanterar molnsäkerhet, enligt en rapport som publicerades på torsdagen.
Cybersäkerhetsföretaget Check Point Research hävdade i studien att minst 23 populära mobilappar innehåller "felkonfigurationer" av tredjeparts molntjänster. Företaget sa att utvecklare av några av apparna inte kontrollerade om säkerhetsåtgärder utformade för att förhindra dataintrång fanns vid synkronisering med molntjänster.
"Genom att inte följa bästa praxis när man konfigurerar och integrerar tredjepartsmolntjänster i applikationer, avslöjades miljontals användares privata data", skrev forskarna.
"I vissa fall påverkar denna typ av missbruk bara användarna, men utvecklarna lämnades också sårbara. Felkonfigurationen utsätter användarnas data och utvecklarens interna resurser, såsom tillgång till uppdateringsmekanismer och lagring, i fara."
Forskarna undersökte 23 Android-appar, inklusive en taxiapp, logotyptillverkare, skärminspelning, faxtjänst och astrologimjukvara, och fann att de läckte data, inklusive e-postposter, chattmeddelanden, platsinformation, användar-ID, lösenord och bilder.
Cybersäkerhetsexperter säger att utvecklare borde ha varit medvetna om sårbarheterna.
"Utvecklare tenderar att tro att mobila backends är dolda för hackare", sa Ray Kelly, en huvudsäkerhetsingenjör på cybersäkerhetsföretaget WhiteHat Security, i en e-postintervju.
"Sökmotorer, som Google, indexerar inte dessa API:er, vilket ger en falsk känsla av säkerhet när, i själva verket, dessa mobila slutpunkter kan vara lika sårbara som vilken annan webbplats som helst."
Genom att inte följa bästa praxis vid konfigurering och integrering av molntjänster från tredje part i applikationer, avslöjades miljontals användares privata data.
Utvecklare är under press att snabbt införliva nya funktioner i sin mjukvara, sa Stephen Banda, senior manager på cybersäkerhetsföretaget Lookout, i en e-postintervju.
"För att distribuera kod snabbt förlitar sig organisationer på automatiserade programvaruleveransprocesser för att uppgradera funktionalitet, tillämpa säkerhetskorrigeringar för att hålla molnapplikationer uppdaterade", tillade han.
"Att röra sig i den här hastigheten, även med god ändringshantering och bästa säkerhetspraxis på plats, innebär att varje organisation löper risken att införa felkonfigurationer i sina molnapplikationer."
