Para peneliti dari Technical University in Darmstadt Jerman, telah melakukan studi ekstensif di lebih dari 2 juta aplikasi mobile yang dibangun di atas layanan cloud BaaS (Backend-as-a-Service). Menurut peneliti Jerman menemukan masalah hardcoded cloud authentication yang merupakan masalah besar yang menimbulkan dampak kepada pengguna, para peneliti menciptakan scanning dan analisis kerangka khusus yang digunakan untuk menganalisis lebih dari 2 juta aplikasi Android dan IOS. Dengan menggunakan alat ini, mereka berhasil menemukan lebih dari 56 juta catatan data individu terpapar dalam ribuan aplikasi, informasi sensitif pada jutaan pengguna, seperti password, nama, preferensi akun, data kesehatan, nomor telepon, gambar, dan banyak lagi. Dalam satu kasus yang aneh, para peneliti bahkan menemukan data tentang kampanye malware, trojan mobile yang menggunakan layanan BaaS untuk backend nya.
Para peneliti bekerja sama dengan CERT yang kemudian memberitahu (pemilik toko app) Google dan Apple tentang hasil penelitian mereka. Kedua perusahaan diberitahu mengenai masalah tersebut, namaun beberapa hari sebelum presentasi mereka para peneliti Jerman menemukan 4 juta rekaman data individu telah dihapus dan sekarang setidaknya terdapat lebih dari 52 juta item data masih dapat diakses. Akses Laporan (In)Security of Backend-as-a-Service tersedia di situs Black Hat Eropa 2015.
0 comments:
Post a Comment