Données de 100 millions d’utilisateurs Android exposées à une synchronisation défectueuse du stockage en nuage

Les données de plus de 100 millions d’utilisateurs d’applications Android ont été découvertes en raison de mauvaises configurations liées à des services tiers. Détaillée le 20 mai par des chercheurs de Check Point Software Technologies Ltd., l’exposition concerne 23 applications populaires qui mettent en danger les données personnelles des utilisateurs via les ressources internes des développeurs, telles que l’accès aux mécanismes de mise à jour et au stockage. La violation potentielle se résume principalement à l’utilisation d’un accès à la base de données en temps réel, un service qui permet aux développeurs de stocker des données sur le cloud. Les chercheurs ont découvert qu’ils pouvaient récupérer des informations sensibles, notamment des adresses e-mail, des mots de passe, des discussions privées, l’emplacement de l’appareil, des identifiants d’utilisateur, etc., tout cela parce que les applications ne sécurisent pas l’accès entre l’application et la base de données cloud. Un exemple est une application appelée Astro Guru, qui est décrite comme une application d’astrologie, d’horoscope et de chiromancie populaire avec plus de 10 millions de téléchargements. Les chercheurs pouvaient accéder aux informations personnelles, y compris les détails de paiement, en raison de la manière non sécurisée dont les données étaient synchronisées via des bases de données en temps réel basées sur le cloud. Les chercheurs ont noté que bien que le stockage en nuage sur les applications mobiles soit une solution élégante pour accéder aux fichiers, il peut y avoir de graves implications si les développeurs intègrent les clés secrètes et d’accès au même service dans leurs applications. « Certains de ces problèmes découverts dans la recherche Check Point sont similaires à ce que nous avons couvert dans l’incident de l’enregistreur iPhone », a déclaré à SiliconANGLE Michael Isbitski, évangéliste technique à la startup de sécurité d’interface de programmation d’applications Salt Security Inc.. « Les développeurs d’applications mobiles utilisent souvent des bases de données et un stockage de données hébergés dans le cloud, comme AWS S3, pour stocker du contenu pour les clients mobiles. Pour certaines des applications Android examinées par Check Point, a-t-il expliqué, les développeurs intégraient des clés de connexion pour le stockage cloud backend directement dans le code de l’application mobile. « C’est une mauvaise pratique de coder en dur et de stocker des clés d’accès statiques dans une application, que l’application, à son tour, utilise pour se connecter aux propres API backend d’une organisation et aux API cloud tierces », a-t-il déclaré. Ray Kelly, ingénieur principal en sécurité chez le fournisseur de sécurité des applications cloud WhiteHat Security Inc., a noté que les développeurs ont tendance à penser que les backends mobiles sont cachés aux pirates, une pratique connue dans l’industrie de la cybersécurité sous le nom de « sécurité par l’obscurité ». « C’est comme cacher la clé de votre maison sous votre paillasson et penser que votre maison est sûre », a déclaré Kelly. « Pour garantir la sécurité d’une application mobile, il faut que le binaire, la couche réseau, le stockage principal et les API de l’application soient tous testés de manière approfondie pour détecter les vulnérabilités de sécurité pouvant entraîner des problèmes tels que des fuites de données. » Image : Check Point Puisque vous êtes ici… Montrez votre soutien à notre mission avec notre abonnement en un clic à notre chaîne YouTube (ci-dessous). Plus nous avons d’abonnés, plus YouTube vous proposera du contenu pertinent sur les entreprises et les technologies émergentes. Merci! Soutenez notre mission : >>>>>> ABONNEZ-VOUS MAINTENANT >>>>>> à notre chaîne YouTube. … Nous aimerions également vous parler de notre mission et de la manière dont vous pouvez nous aider à la remplir. Le modèle commercial de SiliconANGLE Media Inc. est basé sur la valeur intrinsèque du contenu, et non sur la publicité. Contrairement à de nombreuses publications en ligne, nous n’avons pas de mur payant ou de bannière publicitaire, car nous voulons garder notre journalisme ouvert, sans influence ni besoin de chasser le trafic. Le journalisme, les reportages et les commentaires sur SiliconANGLE – ainsi que la vidéo en direct et non scénarisée de notre studio de la Silicon Valley et des équipes vidéo globe-trotters de theCUBE – cela demande beaucoup de travail, de temps et d’argent. Maintenir une qualité élevée nécessite le soutien de sponsors qui s’alignent sur notre vision d’un contenu journalistique sans publicité. Si vous aimez les reportages, les interviews vidéo et d’autres contenus sans publicité ici, veuillez prendre un moment pour consulter un échantillon du contenu vidéo pris en charge par nos sponsors, tweetez votre soutien et revenez régulièrement sur SiliconANGLE.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *