Les données de 100 millions d’utilisateurs d’applis Android exposéeS

Des applications très populaires, ayant été parfois téléchargées plus de 10 millions de fois, souffrent de grosses failles de sécurité. Leurs développeurs n’ont pas protégé l’accès aux données personnelles des utilisateurs sur des services cloud tiers.

Des e-mails, des données de géolocalisation, des mots de passe, des photos, des échanges de messages, des données personnelles… Ce sont les informations personnelles de 100 millions d’utilisateurs d’applications populaires pour Android, qui ne sont pas protégées d’éventuelles captations par des pirates. Détectée par le laboratoire de recherche de la société de sécurité Check Point, cette énorme faille concerne des applications, dont certaines atteignent jusqu’à 10 millions de téléchargements.

En tout, ce seraient 23 applications pour Android qui seraient touchées par ces carences de sécurité. On trouve de tout, comme Astro Guru, une application d’astrologie, d’horoscope et de chiromancie, téléchargée plus de 10 millions de fois. Une fois que les utilisateurs ont saisi leurs informations personnelles telles que leur nom, leur date de naissance, leur sexe, leur domicile, leur adresse e-mail et leurs détails de paiement, Astro Guru leur fournit un rapport personnel d’astrologie et leur horoscope. Malheureusement, ce sont autant de données personnelles qui ne sont pas protégées.

Autre champion du téléchargement, Screen Recorder permet d’enregistrer l’écran de l’appareil de l’utilisateur et de stocker les enregistrements sur un service cloud. Si l’accès aux enregistrements d’écran via le Cloud est une fonctionnalité pratique, les mots de passe privés des utilisateurs se trouvent sur le même service Cloud qui stocke les enregistrements. Gênant… C’est également le cas de T’Leva, une application de réservation de taxi qui a été téléchargée plus de 50.000 fois. Les chercheurs de Check Point ont pu accéder aux échanges entre les chauffeurs et les passagers et récupérer les noms complets des utilisateurs, leurs numéros de téléphone et leurs localisations — destination et prise en charge.

La sécurité des services cloud tiers oubliée des développeurs

Tout provient d’un manque flagrant de sécurisation de services tiers de stockage en cloud et notamment le traitement de bases de données en temps réel. Il en est de même pour des services de gestion de l’envoi de notifications, par exemple. Il s’agit de briques qui peuvent être intégrées facilement aux applications par les développeurs. Mais voilà, ces derniers négligent totalement l’aspect sécurité de ces services tiers et ne configurent pas les systèmes de protection des données lors de leur intégration.

Il n’y a pas que les données personnelles des utilisateurs qui sont alors en danger. Certaines fonctionnalités utilisées par les éditeurs le sont tout autant. Une personne malveillante peut très bien accéder au mécanisme des mises à jour par notifications, par exemple. Cela peut représenter une catastrophe si la notification invite à activer une mise à jour comportant en réalité une charge virale. Pour les inviter à corriger le tir, Check Point a contacté l’ensemble des éditeurs des applications. À l’heure actuelle, certaines, mais pas toutes, ont pris soin de renforcer leur sécurité. De même Google a été informé et a incité à fournir des tests plus approfondis pour l’accueil de ces applications sur le Play Store.

Ce qu’il faut retenir

  • Les données de 100 millions d’utilisateurs d’applications Android ne sont pas protégées
  • Les développeurs ont oublié de sécuriser les bases de données gérées sur des services cloud
  • Les services de gestion des notifications des applications peuvent aussi être impactés