Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 1/6/2015
Forskere har fundet 56 millioner sæt ubeskyttede data på cloud-tjenester. Dataene stammer fra mobile apps, der lagrer fortrolige data på en usikker måde.Problemet opstår typisk, når udvikleren af en app vil gøre det let for brugerne at skifte mellem platforme og enheder. Det kræver, at brugernavn, password og andre oplysninger synkroniseres.
I stedet for selv at programmere synkroniseringsfunktionen vælger mange udviklere at bruge såkaldt Backend-as-a-Service (BaaS). Det vil sige, at deres app trækker på funktioner, som en cloud-udbyder som Amazon, Google, Apple eller Parse.com stiller til rådighed.
Det kan gøres på sikker vis, så også fortrolige data kan lagres og synkroniseres ad den vej. Men forskere fra Technische Universität Darmstadt og Fraunhofer-instituttet har opdaget, at mange apps bruger tjenesterne på en usikker måde.
Det medfører, at data kun er beskyttet med en nøgle, som er lagt ind i appens programkode. Ved at hente den ud fra koden kan en angriber få fat i data fra alle brugere af appen.
Forskerne har analyseret tusindvis af apps. De konkluderer, at et overvældende flertal anvender usikre metoder.
Udbyderne af BaaS er informeret om, at mange udviklere ikke følger de anvisninger for sikker programmering, de anbefaler. De har kontaktet nogle udviklere. Men forskerne regner med, at der findes flere sårbare apps.
Anbefaling
Brugere har ingen mulighed for at se, om en app lagrer data på usikker vis. Forskerne anbefaler derfor, at brugere er forsigtige med at lagre fortrolige data i apps. Man kan eventuelt foretrække apps, hvis sikkerhed er valideret af en uafhængig tredjepart.