Près de deux douzaines (23, pour être précis) des applications Android trouvées sur le Google Play Store sont au cœur du problème. Des chercheurs d’experts en cybersécurité Check Point ont déclaré que les applications Android incriminées utilisaient des bases de données en temps réel non protégées, ce qui a conduit au problème. Cette mauvaise configuration des services cloud tiers signifiait que les données personnelles telles que les e-mails, les mots de passe, les photos, les messages de chat et les informations de localisation auraient pu se retrouver avec de mauvais acteurs.
Cela, à son tour, pourrait entraîner un vol d’identité et des balayages de service, a averti CheckPoint.
Les applications incriminées variaient en popularité, allant d’aussi peu que 10 000 téléchargements depuis le Google Play Store à plus de 10 millions. Les applications populaires du Play Store que CheckPoint a mises en évidence comprenaient Logo Maker, Screen Recorder et Astro Guru.
Ce trio d’applications a toutes plus de 10 millions d’installations Google Play Store et – dans le cas de Screen Recorder – a été évalué par des centaines de milliers d’utilisateurs Android. Au total, CheckPoint a mis en évidence une douzaine d’applications Google Play Store qui ont enregistré plus de 10 millions d’installations, dont trois – comme iFax – comptant plus de 500 000 utilisateurs.
La plupart des applications analysées par CheckPoint avaient une base de données en temps réel non protégée, qui exposait des informations utilisateur sensibles. Dans une étude en ligne, les experts en sécurité ont déclaré qu’une mauvaise configuration de la base de données en temps réel est un problème largement répandu qui affecte des millions d’utilisateurs. Et ils ont dit que ce problème pourrait être évité avec une fonctionnalité simple et basique telle que l’authentification.
CheckPoint a déclaré: « Les bases de données en temps réel permettent aux développeurs d’applications de stocker des données sur le cloud, en s’assurant qu’elles sont synchronisées en temps réel avec chaque client connecté. Ce service résout l’un des problèmes les plus rencontrés dans le développement d’applications, tout en s’assurant que le La base de données est prise en charge pour toutes les plates-formes clientes. Cependant, que se passe-t-il si les développeurs derrière l’application ne configurent pas leur base de données en temps réel avec une fonctionnalité simple et basique comme l’authentification?
« Cette mauvaise configuration des bases de données en temps réel n’est pas nouvelle et continue d’être largement répandue, affectant des millions d’utilisateurs. Tout ce que les chercheurs de CPR avaient à faire était de tenter d’accéder aux données. Il n’y avait rien en place pour empêcher l’accès non autorisé.
« Tout en examinant le contenu de la base de données accessible au public, nous avons pu récupérer de nombreuses informations sensibles, notamment des adresses e-mail, des mots de passe, des chats privés, l’emplacement de l’appareil, des identifiants d’utilisateur, etc. Si un acteur malveillant accède à ces données, il pourrait potentiellement conduire à des swipes de services (c’est-à-dire à essayer d’utiliser la même combinaison nom d’utilisateur-mot de passe sur d’autres services), à la fraude et / ou au vol d’identité. «
Vous pouvez trouver une liste complète des applications incriminées, et sa vulnérabilité correspondante, dans cet article – avec l’aimable autorisation de Bleeping Computer.
CheckPoint a déclaré avoir contacté Google avant de publier ses résultats, et quelques-unes des applications susmentionnées ont ensuite modifié leur configuration.
Conseillant les utilisateurs d’Android sur la manière de rester en sécurité, CheckPoint a déclaré que des solutions efficaces contre les menaces mobiles – que la société se propose via Check Point Harmony Mobile, peuvent détecter et répondre à une variété d’attaques différentes.