LEBIGDATA.FR I.A, Cloud & Cybersécurité
Des applications mobiles exposent des données sensibles d'utilisateurs à cause d'une mauvaise configuration des bases de données cloud Firebase. Les applications concernées comptabilisent des dizaines de millions de téléchargements
Plus de 2 000 applications concernées
Les applications mobiles développées avec Firebase disposent entre autres d'un espace de stockage de données backend hébergé dans le cloud. Un scan via VirusTotal des outils répertoriés sur le service d'analyse ont révélé des applications suspectes.
Chech Point, le fournisseur de service de sécurité a analysé les faits sur trois mois. La société a découvert 2 113 applications mobiles dont le backend Firebase était exposé. Des erreurs de configuration sont en cause.
En écrivant le code, « les développeurs peuvent négliger de configurer correctement la base de données cloud qui est alors exposée en temps réel. Cela pourrait entraîner une violation catastrophique en cas d'exploitation » selon les analystes de Chech Point.
Des données sensibles exposées
L'une des applications concernées compte plus de 10 millions de téléchargements et autant d'informations d'identification de passerelle API ainsi que des clés API. Il s'agit d'une application de e-commerce sud-américaine
Une autre, une application de conception de logo, comptabilise également 10 millions de téléchargements. Celle-ci a exposé 130 000 noms d'utilisateurs, emails et mots de passe. Une plateforme audio sociale avec plus de 5 millions de téléchargements a exposé pour sa part des coordonnées bancaires, des numéros de téléphone et des messages de chat
Une application de comptabilité a aussi divulgué 280 000 numéros de téléphone liés à 80 000 noms d'entreprises au moins, à des adresses postales, des soldes bancaires, des factures ou encore des emails. Autre cas : une application de rencontre a exposé 50 000 messages privés.
Une variété d'attaques possibles
Cette exposition ouvre la voie à de nombreuses attaques dont la nature dépendra essentiellement du type de données. Selon Check Point, « les mauvaises configurations du cloud sont les conséquences d'un manque de sensibilisation, de politiques appropriées et de formation à la sécurité ».
Ce besoin de sensibilisation est renforcé avec le nouveau modèle hybride de travail à domicile. De mauvaises pratiques de sécurité peuvent causer des dommages importants. Et pourtant, quelques clics suffisent à les corriger.
Cette étude menée par Check Point s'aligne avec une récente étude publiée le même mois révélant que 14% des applications Android et iOS utilisent des backends de cloud public présentant des erreurs de configuration.
- Partager l'article :
