LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les informations concernant plus de 100 millions d'utilisateurs d'Android risquent une exfiltration après que 23 applications mobiles différentes aient révélé des fuites de données personnelles. En cause, de mauvaises configurations du Cloud.
Une fuite révélée par Check Point Research
Les fuites ont été révélées par les chercheurs de Check Point Research. Ils ont découvert que les e-mails, les messages de chat, les données de localisation, les mots de passe, les photos, les données personnelles et bien plus encore étaient accessibles à toute personne disposant d'une connexion Internet. Fait inquiétant, seules quelques-unes des applications ont modifié leurs paramètres pour rendre les informations privées après avoir été contactées par l'entreprise .
Les chercheurs ont également découvert des clés de notification push et de stockage dans le Cloud intégrées dans un certain nombre d'applications Android. Cela met en danger les propres ressources internes des développeurs, comme l'accès aux mécanismes de mise à jour, au stockage, etc.
La sécurité des services Cloud négligés par les développeurs
Les solutions modernes basées sur le Cloud sont devenues la nouvelle norme dans le monde du développement d'applications mobiles. Des services tels que le stockage dans le Cloud, les bases de données en temps réel, la gestion des notifications, les analyses et bien plus peuvent désormais être intégrés aux applications. Pourtant, les développeurs négligent souvent l'aspect sécurité de ces services, leur configuration et, bien sûr, leur contenu.
Selon les chercheurs, cela multiplie les risques d'attaques ultérieures. Cela va de l'utilisation des informations d'identification contre d'autres comptes à l'ingénierie sociale et à la fraude / vol d'identité.
La vérification des applications axées sur la sécurité devenue primordiale
Cette découverte souligne l'importance des tests et de la vérification des applications axées sur la sécurité. Les développeurs ne savent pas toujours ce qu'il faut faire en matière de sécurité. Les plateformes d'applications telles que Google Play et Apple App Store doivent fournir des tests plus approfondis et inciter les développeurs à adopter le bon comportement pour renforcer la sécurité dès le début.
Les données étaient accessibles à partir de bases de données en temps réel dans 13 des applications Android, dont le nombre de téléchargements varie de 10 000 à 10 millions. Des applications d'astrologie (dont Astro Guru), de services de taxi, de créateurs de logos, d'enregistrement d'écran et de télécopie font partie des outils concernés par cette fuite.
Mauvaise configuration des bases de données, un problème récurrent
Cette mauvaise configuration des bases de données en temps réel n'est pas nouvelle et continue d'être largement répandue, affectant des millions d'utilisateurs. Rien n'avait été mis en place pour empêcher l'accès non autorisé. Les gestionnaires de notifications push dans de nombreuses applications n'étaient pas non plus protégés par mot de passe.
Cela pourrait être exploité par les hackers qui n'ont qu'à intercepter des alertes et y injecter des malwares. Par ailleurs, les clés Cloud d'au moins deux applications ont été exposées sans aucune protection. Selon les chercheurs, coder en dur et stocker des clés d'accès statiques dans une application est une mauvaise pratique, à moins que les développeurs ne garantissent la sécurité des éléments clés.
- Partager l'article :
