Android : les données personnelles de 100 millions d’utilisateurs dans la nature
L’intégration des services cloud laisse souvent à désirer. Résultat : les données des utilisateurs sont parfois facilement accessibles.
Beaucoup d’applications mobiles s’appuient sur des services cloud pour stocker ou synchroniser les données de leurs utilisateurs. Mais ce type d’architecture n’est pas toujours très bien maîtrisé, comme viennent de constater des chercheurs en sécurité de Check Point. Ils ont trouvé 23 applications Android assez populaires où une personne tierce pouvait accéder aux données personnelles des utilisateurs : des messages, des mots de passe, des historiques de navigation, des e-mails, des captures d’écran, des images, etc.
Au total, plus de 100 millions d’utilisateurs étaient concernés par ces vulnérabilités. Parmi les applications vulnérables figurent notamment un outil de captures d’écran (« Screen Recorder »), un logiciel de fax (« iFax »), un logiciel d’astrologie (« Astro Guru ») et un outil de création de logos (« Logo Maker »).
Les raisons proviennent d’un manque de compétence des développeurs. Ainsi, ils utilisent des bases de données temps réel, mais, comme elles ne sont pas bien configurées, on y rentre comme dans du beurre. Il n’est pas rare non plus que les développeurs codent en dur dans l’application les identifiants d’accès aux services cloud. Il suffit alors de décompiler l’application pour y accéder. Ces mauvaises pratiques ne sont pas nouvelles, « mais (…) la portée du problème est encore beaucoup trop large et affecte des millions d’utilisateurs », constate Check Point, qui a alerté tous les éditeurs concernés. Les erreurs ont depuis été en partie corrigées.
Source : 01net.com