Une piètre configuration expose les données d’applis Android
Des applis qui conservent les données d’utilisateurs dans des services dans le nuage, s’avèrent parfois maladroites au niveau de leur protection. C’est ainsi que les données de plusieurs de ces applis se retrouvent en ligne de manière non-sécurisée.
La firme de sécurité Check Point a examiné 23 applis Android et a constaté que pour plusieurs d’entre elles, il n’est guère malaisé de visionner des données sensibles d’utilisateurs. Il s’agit en l’occurrence de mails, messages de clavardage (chat), localisations, mots de passe et photos qui sont conservés au moyen de ce genre d’applis, mais qui sont mal ou aucunement sécurisés.
Des 23 applis examinées, il y en avait treize, dont les données privées étaient disponibles publiquement. Leur développeur faisait conserver les données via des services dans le nuage, mais suite à une piètre configuration, les données restaient accessibles à tout un chacun. La firme de sécurité évoque des applis téléchargées des dizaines de milliers, voire dix millions de fois, où les données de cent millions d’utilisateurs étaient exposées. On ne sait cependant pas si elles ont effectivement été visionnées par des tiers.
Clavardages et documents
Il est entre autres question de l’appli d’astrologie Astro Guru ou de l’appli de taxi italienne T’Leva, où les messages de ‘chat’ entre les chauffeurs et les passagers étaient visibles. Mais l’appli iFax conservait également tous les fax dans un nuage mal configuré, ce qui fait que tous ces documents restaient bien visibles. Check Point a pris contact avec les divers développeurs à ce sujet, à la suite de quoi certains ont résolu ce problème de sécurité.
Check Point ne révèle pas de quels services dans le nuage il s’agit, mais ce problème n’est pas nouveau en soi. L’été dernier déjà, un spécialiste de la sécurité avait découvert des milliers de ‘S3 storage buckets’ piètrement configurés sur AWS. Un an plus tôt, des erreurs comparables avaient été décelées chez des développeurs utilisant des données de Facebook. On ignore cette fois encore s’il s’agit de stockage AWS.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici