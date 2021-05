Nous y revoilà – plus de 100 millions d’utilisateurs de près de deux douzaines d’applications Android ont vu leurs données personnelles exposées, selon une nouvelle étude d’une entreprise de cybersécurité qui affirme avoir découvert que le problème provenait de la façon dont les développeurs abusent des services cloud tiers.

L’équipe de Check Point Research a publié un rapport qui a révélé des exemples spécifiques d’applications vulnérables, notamment les applications mobiles d’astrologie, de taxi, d’enregistrement d’écran et de télécopie. Entre autres choses, CPR a trouvé des données sensibles accessibles au public à partir de bases de données en temps réel connectées à plusieurs applications Android qui avaient recueilli entre 10 000 et 10 millions d’installations. Les données personnelles comprenaient des e-mails, des messages de chat, des mots de passe et des photos, entre autres, et CPR a également trouvé des notifications push et des clés de stockage en nuage intégrées dans de nombreuses applications Android elles-mêmes.

«Une base de données en temps réel est une base de données qui fonctionne sur des données en direct et en constante évolution, plutôt que sur des données persistantes stockées sur un disque», a expliqué CPR dans un e-mail à propos des résultats. «Les développeurs d’applications dépendent de bases de données en temps réel pour stocker des données sur le cloud… Si un acteur malveillant accède aux données sensibles extraites par CPR, cela entraînerait potentiellement une fraude, un vol d’identité et un balayage de service, ce qui tente d’utiliser la même combinaison nom d’utilisateur-mot de passe sur d’autres services. »

Comme vous pouvez le constater, les applications mobiles étant devenues une partie si omniprésente de nos vies, ce ne sont pas seulement les applications elles-mêmes qui doivent être sécurisées. Les développeurs doivent également cesser de négliger l’aspect de sécurité associé aux services qui font également partie intégrante des applications mobiles, tels que le stockage en nuage, les bases de données en temps réel, les analyses et la gestion des notifications.

Astro Guru, T’Leva et Logo Maker sont des exemples d’applications Android citées par CPR dans ce nouveau rapport. T’Leva, une application de taxi, a recueilli 50 000 téléchargements, tandis que les deux autres – Astro Guru, une application d’astrologie, et Logo Maker, une application de conception graphique – ont atteint 10 millions de téléchargements. En ce qui concerne les données que CPR a trouvées, extraites de chacun d’eux, le rapport a identifié les éléments suivants de chaque application:

Astro Guru: nom, date de naissance, sexe, emplacement, e-mail et détails de paiement mot de passe, nom d’utilisateur, ID utilisateur

«La plupart des applications que nous avons examinées exposent encore les données maintenant», a déclaré Aviran Hazum, responsable de la recherche mobile chez Check Point Software. «La collecte de données, en particulier par un acteur malveillant, est très grave. En fin de compte, les victimes deviennent vulnérables à de nombreux vecteurs d’attaque différents, tels que les usurpations d’identité, le vol d’identité, le phishing et les balayages de services. Nos dernières recherches mettent en lumière une réalité inquiétante où les développeurs d’applications mettent non seulement leurs données, mais aussi celles de leurs utilisateurs privés en danger.

«En ne suivant pas les meilleures pratiques lors de la configuration et de l’intégration de services cloud tiers dans des applications, des dizaines de millions de données privées d’utilisateurs ont été exposées.»

L’ensemble du rapport vaut la peine d’être lu ici. «Cette mauvaise configuration des bases de données en temps réel n’est pas nouvelle», poursuit-il, «mais à notre grande surprise, la portée du problème est encore beaucoup trop large et affecte des millions d’utilisateurs. Tout ce que nos chercheurs avaient à faire était de tenter d’accéder aux données. Rien n’était en place pour empêcher le traitement de l’accès non autorisé. »

