Les données de plus de 100 millions d'utilisateurs d'Android pourraient être exposées à des pirates en raison d'une faille dans la manière dont les appareils gèrent la sécurité du cloud, selon un rapport publié jeudi.
La société de cybersécurité Check Point Research a affirmé dans l'étude qu'au moins 23 applications mobiles populaires contiennent des "mauvaises configurations" de services cloud tiers. La société a déclaré que les développeurs de certaines des applications n'avaient pas vérifié si des mesures de sécurité conçues pour prévenir les violations de données étaient en place lors de la synchronisation avec les services cloud.
"En ne suivant pas les meilleures pratiques lors de la configuration et de l'intégration de services cloud tiers dans les applications, les données privées de millions d'utilisateurs ont été exposées", ont écrit les chercheurs.
"Dans certains cas, ce type d'utilisation abusive n'affecte que les utilisateurs, mais les développeurs ont également été laissés vulnérables. La mauvaise configuration met en danger les données des utilisateurs et les ressources internes des développeurs, telles que l'accès aux mécanismes de mise à jour et au stockage."
Les chercheurs ont examiné 23 applications Android, y compris une application de taxi, un créateur de logo, un enregistreur d'écran, un service de télécopie et un logiciel d'astrologie, et ont découvert qu'elles avaient divulgué des données, notamment des enregistrements d'e-mails, des messages de chat, des informations de localisation, des identifiants d'utilisateur, mots de passe et images.
Les experts en cybersécurité disent que les développeurs auraient dû être conscients des vulnérabilités.
"Les développeurs ont tendance à penser que les backends mobiles sont cachés aux pirates", a déclaré Ray Kelly, ingénieur principal en sécurité de la société de cybersécurité WhiteHat Security, dans une interview par e-mail.
"Les moteurs de recherche, tels que Google, n'indexent pas ces API, ce qui donne une fausse impression de sécurité alors qu'en fait, ces terminaux mobiles peuvent être tout aussi vulnérables que n'importe quel autre site Web."
En ne suivant pas les meilleures pratiques lors de la configuration et de l'intégration de services cloud tiers dans les applications, les données privées de millions d'utilisateurs ont été exposées.
Les développeurs sont sous pression pour intégrer rapidement de nouvelles fonctionnalités dans leurs logiciels, a déclaré Stephen Banda, cadre supérieur de la société de cybersécurité Lookout, dans une interview par e-mail.
"Pour déployer rapidement du code, les organisations s'appuient sur des processus de livraison de logiciels automatisés pour mettre à niveau les fonctionnalités, appliquer des correctifs de sécurité pour maintenir les applications cloud à jour", a-t-il ajouté.
"Agir à cette vitesse, même avec de bonnes pratiques de gestion des changements et de sécurité en place, signifie que chaque organisation court le risque d'introduire des erreurs de configuration dans ses applications cloud."
