14 des applications les plus populaires du Google Play Store ont exposé des données utilisateur sensibles.
Le groupe de recherche CyberNews a signalé que 14 des meilleures applications Android ont divulgué des données utilisateur à la suite d’une mauvaise configuration de Firebase. Ces applications ont été téléchargées environ 140 millions de fois, et les données exposées pourraient inclure des noms d’utilisateur et des mots de passe, des adresses e-mail, des dossiers financiers et les vrais noms des utilisateurs, entre autres détails.
Firebase est un outil utilisé par les développeurs pour créer des applications et parcourir les analyses, et est livré avec d’autres fonctionnalités pertinentes, telles que l’hébergement et le stockage cloud en temps réel. Les développeurs en herbe ont pu utiliser la plate-forme pour stocker des informations relatives à leurs applications dans le cloud ; données, informations d’identification, jetons, etc.
Les quatorze applications mises en évidence par le rapport CyberNews se sont avérées être affectées par une mauvaise configuration de Firebase. En tant que telles, leurs bases de données en temps réel n’étaient pas sécurisées et toute personne disposant de la bonne URL y avait accès sans aucun type d’authentification. Essentiellement, les mauvais acteurs et les fouineurs avaient une invitation ouverte à passer au peigne fin les informations des utilisateurs à leur guise.
L’étendue de la fuite du Google Play Store est également étonnante – toutes sortes d’applications ont été affectées, et certaines ont même vu leur objectif initial annulé ou subverti. Un outil Horoscope avec 500 000 utilisateurs, par exemple, exposait des messages privés et des détails, et un tracker de localisation conçu pour garder un œil sur vos enfants diffusait en fait des données en temps réel – une notion terrifiante ! Toute personne utilisant ces applications aurait pu voir ses données les plus privées exposées à des acteurs malveillants ayant accès à la base de données de l’application. En tant que telles, les fuites sont susceptibles d’avoir des conséquences de grande envergure.
Pour les victimes, leurs données pourraient être utilisées par de mauvais acteurs dans des campagnes de phishing opportunistes. Les cybercriminels créent souvent des e-mails ou des messages instantanés socialement conçus pour tenter de piéger les victimes, et ces communications peuvent être rendues d’autant plus convaincantes si les escrocs en question sont armés de détails glanés à partir de fuites, comme l’incident de Google Play.
Un problème permanent
CyberNews a contacté Google concernant la violation désastreuse et n’a reçu aucune réponse. Ce n’est pas tout à fait surprenant, mais c’est décourageant, tout comme le fait que neuf des quatorze applications concernées continuent de divulguer des données !
Ce qui est également inquiétant, c’est que Firebase étant une plate-forme multiplateforme, les applications iOS qui utilisent l’outil pourraient également souffrir d’une mauvaise configuration similaire.
Les utilisateurs eux-mêmes ne peuvent malheureusement pas faire grand-chose. Les développeurs d’applications ont branché leurs bases de données qui fuyaient après que CyberNews les a alertés du problème, bien que ce type d’action rétrospective ne le résout pas à long terme. Les développeurs doivent être proactifs pendant le processus de codage de leurs projets et s’assurer que la confidentialité et la sécurité sont prioritaires dès le premier jour, avec des contrôles et des processus adéquats, et une attention particulière à la configuration correcte des bases de données qui protègent les données des utilisateurs.
Trop souvent, cependant, ces considérations de sécurité sont négligées au profit d’une accélération du processus de développement.
C’est choquant de penser que la vie privée de millions d’utilisateurs d’Android a été mise en danger dans le but de potentiellement couper quelques coins – c’est une attitude à l’égard de la sécurité numérique qui est aussi dangereuse que naïve. Malheureusement, ce n’est pas la première fois que l’App Store est ravagé par des services tiers mal configurés et des contrôles ternes.
En mai 2021, la société de cybersécurité Check Point Research a signalé que 23 applications Android divulguaient des données sensibles, telles que des mots de passe, des images et des journaux de discussion. Plus de 100 millions d’utilisateurs ont été potentiellement touchés et, tout comme les victimes d’aujourd’hui, ils ne pouvaient guère faire plus qu’attendre que les développeurs colmatent les fuites… et commencent à prendre la sécurité des consommateurs au sérieux.