Des milliers d’applications Android et iOS exposent des données utilisateur en raison de mauvaises configurations dans le cloud: Zimperium

Des milliers d’applications Android et iOS exposent des données utilisateur en raison de mauvaises configurations dans le cloud: Zimperium

Selon une entreprise de sécurité mobile, des milliers d’applications Android et iOS ont exposé des données utilisateur en raison de mauvaises configurations courantes dans le cloud. Les problèmes pourraient permettre à des attaquants malveillants d’exploiter les informations divulguées. Les chercheurs ont découvert des problèmes de configuration incorrecte sur des applications utilisant des services de cloud public populaires tels que Amazon Web Services, Google Cloud et Microsoft Azure. Entre autres applications, un portefeuille mobile développé par une société Fortune 500 a été repéré exposant des informations de session et de paiement d’utilisateurs susceptibles de conduire à des fraudes.

Les chercheurs de Zimperium ont mené une analyse automatisée de plus de 1,3 million d’applications Android et iOS dans lesquelles ils ont trouvé des problèmes de configuration erronée sur 14% de la base de test totale. Dans un article de blog, la société a noté qu’elle avait détecté des applications qui fuyaient l’ensemble des scripts et définitions de l’infrastructure cloud, y compris les clés SSH.

« D’autres types de configurations sont les fichiers de configuration du serveur Web, les fichiers d’installation et même les mots de passe des bornes de paiement », a déclaré la société dans le message.

Les applications ont révélé des informations personnelles identifiables (PII), y compris des photos de profil, des détails personnels et des données de tests médicaux. Certaines applications ont même permis la fraude ou exposé des données de propriété intellectuelle (IP) et des systèmes internes.

Les applications exposant les informations personnelles comprenaient certaines applications de médias médicaux et sociaux, ainsi qu’une application de jeu majeure et une application de fitness. Les principales applications de transport urbain, de vente au détail en ligne et de jeux d’argent ont également été remarquées, permettant la fraude. En outre, les principales applications de musique, de services de presse, de portefeuille de paiements mobiles, d’aéroport, de développeur de matériel et de voyage du gouvernement asiatique exposaient les détails de la propriété intellectuelle et du système. Zimperium, cependant, n’a pas révélé le nom exact des applications exposant des données.

«Au cours de notre examen, nous avons rencontré plusieurs applications reposant à la fois sur le stockage Google et Amazon qui étaient accessibles sans aucune sécurité. Dans un exemple, les informations que nous avons pu obtenir comprenaient des photos de profil et d’autres informations PII », a déclaré Zimperium.

Les chercheurs ont également constaté que dans certains cas, les erreurs de configuration permettaient même aux pirates de modifier ou d’écraser des données, ce qui pourrait perturber davantage les utilisateurs finaux.

Wired a signalé qu’un total de 11877 applications Android et 6608 applications iOS exposaient les informations sensibles des utilisateurs via des erreurs de configuration courantes du cloud.

Les chercheurs ont contacté certains développeurs d’applications au sujet des expositions, bien que de nombreuses applications aient encore des données exposées. La réponse de la plupart des développeurs d’applications contactés a également été minime.

Les fournisseurs de services cloud tels qu’Amazon, Google et Microsoft fournissent des moyens de protéger les données contre l’exposition. Cependant, il est de la responsabilité ultime des développeurs et des entreprises qui proposent des applications d’utiliser des configurations appropriées pour assurer la sécurité de leurs utilisateurs.

«Une fois que vous avez fermé votre service cloud à l’accès externe non autorisé, la prochaine chose que vous pouvez faire est d’utiliser un service qui évalue votre cycle de vie de développement logiciel sécurisé dans le cadre de votre processus de développement standard», a déclaré Zimperium.

Il est important de noter que Zimperium est l’une des trois sociétés de sécurité mobile qui font partie de l’initiative App Defense Alliance de Google, qui vise à offrir une analyse automatisée des applications pour Google Play.

Wired a rapporté que les chercheurs de Zimperium ont utilisé le même ensemble d’outils qu’il utilise pour le programme App Defense Alliance pour enquêter sur les erreurs de configuration du cloud. Cependant, au lieu de rechercher des expositions accidentelles, la société utilise les outils de Google Play pour trouver des fonctionnalités potentiellement malveillantes.


La nouvelle politique de confidentialité de WhatsApp met-elle fin à votre vie privée? Nous en avons discuté sur Orbital, notre podcast technologique hebdomadaire, auquel vous pouvez vous abonner via Apple Podcasts, Google Podcasts ou RSS, télécharger l’épisode ou simplement cliquer sur le bouton de lecture ci-dessous.

Articles similaires

Les ventes d’iPhone 13 devraient être élevées, suggère les précommandes d’Apple

Les ventes d’iPhone 13 devraient être élevées, suggère les précommandes d’Apple

Tirez le meilleur parti de votre navigation et de vos jeux avec cette offre

Tirez le meilleur parti de votre navigation et de vos jeux avec cette offre

Revue de la bande d’honneur 6 – Actualités GSMArena.com

Revue de la bande d’honneur 6 – Actualités GSMArena.com

3 façons de mettre à jour Google Play Store vers la dernière version – Gadgets à utiliser

3 façons de mettre à jour Google Play Store vers la dernière version – Gadgets à utiliser

Articles récents