Fuites de données trouvées sur les applications Android et iOS stockées dans le cloud

Fuites de données trouvées sur les applications Android et iOS stockées dans le cloud

⌛ Reading Time: 4 minutes

S’il y a déjà eu une saison convaincante pour ne pas faire confiance aux développeurs d’applications tiers avec vos données, c’est bien celle-ci. Une entreprise de sécurité mobile a découvert des fuites de données de milliers d’applications Android et iOS tierces via le stockage en nuage.

Fuites de données découvertes

Ce serait bien de dire que ce sont des nouvelles étonnantes, mais ce n’est pas le cas. Il n’est vraiment pas surprenant que les données des utilisateurs aient été divulguées alors que des utilisateurs mobiles sans méfiance ont continué à configurer leurs nombreux comptes.

Tout se résume à une mauvaise gestion des données. Cela ne semble pas être flagrant – c’était juste de la négligence. Au lieu de stocker les données sur leurs propres serveurs, les développeurs d’applications mobiles tiers ont négligemment stocké les données des utilisateurs dans le cloud et ont plus ou moins laissé la porte ouverte.

Le terme de sécurité mobile Zimperium a effectué une analyse automatisée sur 1,3 million d’applications Android et iOS, vérifiant les erreurs de configuration dans le stockage des données. 84 000 applications Android et près de 47 000 applications iOS se sont avérés utiliser un service de cloud public pour stocker les données des utilisateurs. Des services tels que Amazon Web Services, Google Cloud et Microsoft Azure ont été utilisés. Parmi ces applications utilisant le stockage en nuage, 14% ont exposé les informations personnelles des utilisateurs, qui comprenaient des mots de passe et même des informations médicales.

« C’est une tendance inquiétante », déclare Shridhar Mittal, PDG de Zimperium. « Beaucoup de ces applications ont un stockage dans le cloud qui n’a pas été configuré correctement par le développeur ou la personne qui a configuré les choses, et à cause de cela, les données sont visibles par à peu près n’importe qui. Et la plupart d’entre nous ont certaines de ces applications en ce moment.

Le pire, c’est que les chercheurs ont contacté certains des développeurs et ont eu très peu de réponses – et de nombreuses applications ont encore des données exposées.

Des fuites de données découvertes sur l'App Store

Potentiellement, les fuites de données incluent de nombreuses informations personnelles sur les utilisateurs. Certaines applications comptaient quelques milliers d’utilisateurs, tandis que d’autres en comptaient quelques millions. Les données financières d’un portefeuille mobile appartenant à une entreprise Fortune 500 font partie des données exposées. Il en va de même pour les données de transport d’une grande ville et les données de test des applications médicales,

Zimperium n’a pas essayé de déterminer si les attaquants avaient trouvé les données exposées, mais les mauvais acteurs seraient certainement en mesure d’utiliser les mêmes méthodes publiques que les chercheurs ont utilisées pour accéder aux informations. Et ils ne seraient pas simplement en mesure de visualiser les données exposées. Certaines des mauvaises configurations permettraient aux attaquants de modifier ou d’écraser les données.

Qui est responsable de ce gâchis ?

Les fournisseurs de cloud essaient de surveiller les erreurs de configuration, mais c’est vraiment aux développeurs de vérifier ce stockage et de s’assurer qu’il fonctionne comme prévu.

Fuites de données découvertes Android

Il est tout à fait logique qu’une mauvaise configuration puisse être un problème répandu », a déclaré Will Stafrach, chercheur en sécurité. « J’ai vu des compartiments AWS avec de mauvaises autorisations, et j’ai également vu plusieurs nœuds VPN exposer des données. J’ai vu beaucoup d’applications d’entreprises qui devraient mieux connaître et qui ont d’horribles problèmes de sécurité.

Zimperium fonctionne également dans l’App Defense Alliance Initiative de Google pour vérifier les applications sur le Play Store. La différence avec ce travail est qu’ils recherchent une activité malveillante au lieu des fuites de données accidentelles de l’exposition au cloud.

Mittal espère juste après tout cela faire prendre conscience de cette situation.

Si vous craignez que votre e-mail et vos mots de passe ne soient divulgués, lisez la suite pour savoir comment les surveiller.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.