Android: plus de 100 millions d’utilisateurs exposés à cause de services cloud mal configurés

Les chercheurs en sécurité ont découvert que les données personnelles de plus de 100 millions d’utilisateurs d’Android avaient été exposées en raison de diverses erreurs de configuration de services cloud.

Les données ont été trouvées dans des bases de données en temps réel non protégées et utilisées par 23 applications avec un nombre de téléchargements allant de 10 000 à 10 millions et incluent également des ressources de développement internes.

Une douzaine d’applications populaires d’Android exposent les données des utilisateurs

Bien que les bases de données mal configurées ne soient pas une surprise, la découverte montre que certains développeurs Android ne suivent pas les pratiques de sécurité de base pour restreindre l’accès à la base de données de leur application.

Le nombre d’applications mobiles présentant des problèmes de configuration montre qu’il s’agit d’un problème répandu qui peut être facilement exploité à des fins malveillantes.

Les développeurs d’applications utilisent des bases de données en temps réel pour stocker des données dans le cloud et les synchroniser en temps réel avec les clients connectés.

Les chercheurs de Check Point ont constaté que certaines de ces bases de données n’étaient pas protégées et que n’importe qui pouvait accéder aux informations personnelles, dont certaines sensibles, appartenant à plus de 100 millions d’utilisateurs.

Les données comprennent les noms, les adresses e-mail, les dates de naissance, les messages de chat, l’emplacement, le sexe, les mots de passe, les photos, les détails de paiement, les numéros de téléphone, les notifications push.

Certaines des applications exposant ce type d’informations sont présentes dans Google Play et ont plus de 10 millions d’installations (Logo Maker, Astro Guru). D’autres, comme T’Leva, sont moins populaires mais ont toujours une base d’utilisateurs importante avec un nombre d’installations compris entre 10 000 et 500 000.

android applications
Applications Android avec base de données en temps réel non protégée

Les clés d’accès à l’intérieur

Les chercheurs ont également découvert des détails sensibles liés aux développeurs intégrés dans certaines des applications testées. Dans une application, ils ont trouvé les informations d’identification pour les services de notification push.

Dans Screen Recorder, une autre application sur Google Play avec plus de 10 millions d’installations, les chercheurs ont trouvé les clés de stockage dans le cloud qui donnent accès aux captures d’écran des utilisateurs à partir de l’appareil.

Ils ont découvert que l’application iFax d’Android stockait également les clés de stockage dans le cloud et que la base de données contenait des documents et des transmissions de fax de plus de 500 000 utilisateurs.

Certains développeurs, cependant, ont adopté le principe de «sécurité par l’obscurité» et ont obscurci la clé secrète en utilisant le codage base64, qui n’ajoute aucune protection puisque le décodage n’est pas protégé.

«Même si l’application n’utilise pas de clés en texte clair, il suffit de trouver le morceau de code qui initialise l’interface du service cloud, qui reçoit principalement ces clés en tant que paramètres, et de suivre leur valeur. Finalement, si les clés sont intégrées dans l’application, nous obtiendrons leur valeur »

Check Point

Sur les 23 applications analysées par les chercheurs de Check Point, une douzaine ont plus de 10 millions d’installations sur Google Play et la plupart d’entre elles avaient une base de données en temps réel non protégée, exposant des informations sensibles sur les utilisateurs.

android fuite de données
Informations d’utilisateur exposées dans les bases de données non protégées des applications Android

Bien que le problème ne soit pas nouveau, il est surprenant que les applications très populaires n’appliquent pas les pratiques de sécurité de base pour protéger leurs utilisateurs et leurs données.

Vous pourriez aussi aimer
Laisser un commentaire