Une mauvaise configuration des applications mobiles tierces expose les données de 100 millions d’utilisateurs


Une mauvaise configuration des applications mobiles tierces expose les données de 100 millions d'utilisateurs

Vérifiez le code backend de Point Research. Crédit: Check Point Research

Malgré les avantages évidents des solutions modernes basées sur le cloud pour le développement d’applications mobiles – telles que le stockage dans le cloud, la gestion des notifications, les bases de en temps réel et l’analyse – de nombreux développeurs de ces solutions prennent en compte les risques de sécurité potentiels associés à ces applications si elles le sont. pas configuré correctement.

Plus récemment, Check Point Research a découvert des erreurs de configuration et des problèmes de mise en œuvre qui exposaient les données de 100 d’utilisateurs d’applications mobiles. Ce type d’exposition expose les utilisateurs et les développeurs d’applications à des risques d’atteinte à la réputation et à la sécurité. Dans ce cas, les développeurs ont laissé les gestionnaires de notifications, les emplacements et les bases de données en temps réel ouverts aux attaquants, laissant 100 millions d’utilisateurs vulnérables.

En termes de bases de données en temps réel, les services cloud peuvent aider les utilisateurs d’applications mobiles à synchroniser leurs données avec le cloud en temps réel. Cependant, si les développeurs n’implémentent pas correctement ce service avec authentification, en théorie tout utilisateur peut accéder à cette de données, y compris toutes les données des clients mobiles. En fait, les chercheurs ont été surpris que l’accès à ces bases de données ouvertes ne soit pas entravé pour certaines applications sur Google Play. Certains des aspects disponibles dans ce cas comprenaient les emplacements des appareils, les adresses e-mail, les mots de passe, les discussions privées et les identifiants d’utilisateur. Ces vulnérabilités exposent tous ces utilisateurs à des risques de fraude et de vol d’identité.

En fait, la populaire application d’horoscope Astro Guru est une application avec de tels défauts qu’elle peut potentiellement exposer tout utilisateur après 10 millions de personnes enregistrées à une fuite d’informations personnelles (PII) telles que la date de naissance, le courrier électronique, le sexe et le lieu. comme informations de paiement.

De même, l’application de taxi T’Leva, qui compte déjà plus de 50000 installations, a permis aux chercheurs d’obtenir les noms complets des utilisateurs, ainsi que les numéros de téléphone, ainsi que les destinations et les lieux de prise en charge prévus, en envoyant simplement une demande au base de données.

Ensuite, les chercheurs ont découvert que même le gestionnaire de notifications push était devenu vulnérable. Cela signifie que tout acteur malveillant qui peut accéder au gestionnaire peut envoyer des notifications utilisateur au nom du développeur.

En outre, le stockage en nuage de ces applications mobiles présente un risque particulier pour les utilisateurs, car l’équipe de recherche a également constaté que de nombreux développeurs ont laissé ouvertes les clés d’accès et les clés secrètes pour les données stockées dans l’application de service Screen Recorder. Apparemment, une analyse superficielle du fichier de candidature a permis aux chercheurs de récupérer ces clés et d’accéder aux enregistrements des utilisateurs.

Enfin, des recherches ont montré que les logiciels malveillants CopyCat peuvent également obtenir des clés pour des services de stockage cloud compromis. Cela montre comment des développeurs malveillants peuvent également exploiter ces vulnérabilités.


Les configurations cloud non sécurisées rendent les données disponibles dans des milliers d’applications mobiles


Plus d’information:
A. Hazum et coll. « La configuration des services tiers par les développeurs d’applications mobiles laisse plus de 100 millions de données personnelles ouvertes. » Check Point Research, Check Point Research, 20 mai 2021, research.checkpoint.com/2021/m … 100 millions exposés /.

© Réseau Science X 2021

Citation: En raison d’une mauvaise configuration des applications mobiles tierces, les données de 100 millions d’utilisateurs (2021, 21 mai) sont affichées, qui ont été téléchargées à partir de https://techxplore.com/news/2021-05-misconfiguration-party- on 21 mai 2021 applications-mobiles-exposes.html

Ce document est soumis au droit d’auteur. Sauf pour le commerce équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans autorisation écrite. Le contenu est fourni à titre informatif uniquement.

Laisser un commentaire