Une mauvaise configuration d’applications mobiles tierces expose les données de 100 millions d’utilisateurs

Une mauvaise configuration d'applications mobiles tierces expose les données de 100 millions d'utilisateurs

Code backend de Check Point Research. Crédit: Check Point Research

Malgré les avantages évidents des solutions contemporaines de développement d’applications mobiles basées sur le cloud, telles que le stockage dans le cloud, la gestion des notifications, les bases de données en temps réel et l’analyse, de nombreux développeurs de ces solutions ne parviennent pas à prendre correctement en compte les risques de sécurité potentiels associés à ces applications. sont mal configurés.

Plus récemment, Check Point Research a découvert des erreurs de configuration et des problèmes de mise en œuvre qui ont exposé les données de 100 millions d’utilisateurs d’applications mobiles. Ce type d’exposition expose à la fois les utilisateurs et les développeurs d’applications à des risques de menaces de réputation et de dommages à la sécurité. Dans ce cas, les développeurs ont laissé des gestionnaires de notifications ouverts, des emplacements de stockage et des bases de données en temps réel accessibles aux attaquants, laissant ainsi 100 millions d’utilisateurs vulnérables.

En termes de bases de données en temps réel, les services cloud peuvent aider les utilisateurs d’applications mobiles à synchroniser leurs données avec le cloud en temps réel. Cependant, lorsque les développeurs n’implémentent pas correctement ce service avec authentification, tout utilisateur peut théoriquement accéder à cette base de données, y compris toutes les données des clients mobiles. En fait, les chercheurs ont exprimé leur surprise de ne rencontrer aucun obstacle pour accéder à ces bases de données ouvertes pour certaines applications sur Google Play. Certains des aspects pouvant être obtenus dans ce cas étaient les emplacements des appareils, les adresses e-mail, les mots de passe, les discussions privées et les identifiants d’utilisateurs, entre autres vecteurs d’attaque. Ces vulnérabilités exposent tous ces utilisateurs à des risques de fraude et de vol d’identité.

En effet, la populaire application d’horoscope Astro Guru est une application avec de telles vulnérabilités, exposant potentiellement tous les utilisateurs à une fuite d’informations personnelles identifiables (PII) – telles que la date de naissance, l’e-mail, le sexe et l’emplacement ainsi que les informations de paiement – suite à un enregistrement de 10 millions téléchargements.

De même, l’application de taxi T’Leva, qui compte déjà plus de 50000 installations, a permis aux chercheurs d’extraire les noms complets des utilisateurs ainsi que les numéros de téléphone et les destinations et les lieux de ramassage prévus en envoyant une seule demande à la base de données.

Ensuite, les chercheurs ont également constaté que même le gestionnaire de notifications push était devenu vulnérable. Cela signifie que tout acteur malveillant capable d’accéder au gestionnaire pourrait envoyer des notifications à l’utilisateur au nom du développeur.

De plus, le stockage en nuage de ces applications mobiles présente un risque particulier pour les utilisateurs, car l’équipe de recherche a également constaté que de nombreux développeurs laissaient exposés à la fois les clés d’accès et les clés secrètes aux données stockées dans l’application de service Screen Recorder. Évidemment, une analyse superficielle du fichier d’application a permis aux chercheurs de récupérer ces clés et d’accéder aux enregistrements des utilisateurs.

Enfin, des recherches ont montré que le malware CopyCat a également la capacité de récupérer des clés pour les services de stockage cloud à risque, démontrant comment les développeurs malveillants peuvent également tirer parti de ces vulnérabilités.


Les configurations cloud non sécurisées exposent les données à des milliers d’applications mobiles


Plus d’information:
Hazum, A. et coll. « La mauvaise configuration des services tiers par les développeurs d’applications mobiles laisse des données personnelles de plus de 100 millions exposées. » Check Point Research, Check Point Research, 20 mai 2021, research.checkpoint.com/2021/m… 100 millions exposés /.

© Réseau Science X 2021

Citation: Une mauvaise configuration d’applications mobiles tierces expose les données de 100 millions d’utilisateurs (2021, 21 mai) récupérées le 21 mai 2021 sur https://techxplore.com/news/2021-05-misconfiguration-party-mobile-apps-exposes.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.