Cyberthreat.id–Perusahaan keamanan siber Israel-Amerika, Check Point Research, menemukan kesalahan konfigurasi layanan cloud pihak ketiga di sedikitnya 23 aplikasi Android populer.

Kesalahan konfigurasi itu berpotensi mengungkapkan informasi data sekitar 100 juta pengguna, tutur perusahaan dikutip dari ZDNet, Kamis (20 Mei 2021).

Menurut Check Point, 23 aplikasi yang diteliti, seperti aplikasi taksi, pembuat logo, perekam layar, layanan faks, dan perangkat lunak astrologi berpotensi membocorkan catatan email, pesan obrolan, informasi lokasi, ID pengguna, kata sandi, dan gambar.

Dalam 13 kasus, data sensitif tersedia untuk karena pengaturan cloud yang tak aman. Aplikasi-aplikasi tersebut masing-masing menyumbang antara 10.000 hingga 10 juta unduhan.

Layanan cloud kini banyak digunakan oleh layanan dan aplikasi online saat ini. Meskipun berguna dalam pengelolaan, penyimpanan, dan pemrosesan data, hanya diperlukan satu akses atau pengawasan otorisasi untuk mengungkap atau membocorkan catatan yang disimpan. Terlebih, aplikasi, khususnya, akan sering terintegrasi dengan database secara waktu nyata untuk menyimpan dan menyinkronkan data di berbagai platform.

Saat menyelidiki aplikasi layanan taksi, misalnya, tim Check Point dapat mengirim satu permintaan sederhana ke database aplikasi dan menarik pesan obrolan antara pengemudi dan pelanggan, nama, nomor telepon, dan lokasi penjemputan dan pengantaran.

Layanan cloud yang menyediakan manajemen data backend untuk perekam layar dan aplikasi faks juga tidak diamankan secara memadai. Tim peneliti dapat memulihkan (recover) kunci untuk memberikan akses ke rekaman yang disimpan dan dokumen faks dengan menganalisis file aplikasi.

Tombol notifikasi juga ditemukan di aplikasi, dibiarkan terbuka untuk penyalahgunaan. Jika layanan notifikasi dieksploitasi, mereka dapat digunakan untuk mengirim peringatan berbahaya ke pengguna aplikasi.

Para peneliti mengatakan kegagalan keamanan ini disebabkan oleh pengembang yang gagal mengikuti "praktik terbaik saat mengonfigurasi dan mengintegrasikan layanan cloud pihak ketiga ke dalam aplikasi mereka."

"Kesalahan konfigurasi real-time database bukanlah hal baru, tetapi [..] cakupan masalah masih terlalu luas dan memengaruhi jutaan pengguna," kata Check Point.

"Jika aktor jahat memperoleh akses ke data ini, hal itu berpotensi mengakibatkan service-swap (mencoba menggunakan kombinasi nama pengguna-kata sandi yang sama pada layanan lain), penipuan, dan pencurian identitas."

Peneliti telah memberitahu pengembang aplikasi tentang kesalahan konfigurasi sebelum pengungkapan dan beberapa telah memperketat kontrol mereka.[]