Les données exposées découvertes par Check Point Research comprenaient des messages de chat dans des applications de jeu, des photos personnelles, des identifiants de jeton dans des applications de santé et des données provenant de plates-formes de crypto-monnaie.
Les développeurs expérimentés qui utilisent le cloud pour créer des applications mobiles essaient généralement de renforcer leurs applications pour les protéger contre différents types d’attaques. Mais un aspect qui est parfois ignoré dans la protection de la sécurité est la base de données cloud derrière une application. Ces bases de données doivent être sécurisées pour se prémunir contre les accès indésirables. Et ce n’est pas toujours le cas, selon le fournisseur de renseignements sur les cybermenaces Check Point Research.
Dans un nouveau rapport publié mardi, Check Point a déclaré avoir découvert des milliers d’applications mobiles qui laissaient des données exposées. Examiner les applications qui utilisent le cloud hébergé Base de données Firebase, Check Point en a trouvé 2 113 différents dans lesquels les données backend n’étaient pas protégées et accessibles aux pirates. Certaines des informations exposées comprenaient des messages de chat dans des applications de jeu, des fichiers personnels tels que des photos de famille, des identifiants de jeton pour des applications de santé et des données provenant de plates-formes d’échange de crypto-monnaie.
VOIR: Votre passeport numérique COVID-19 pourrait présenter un risque pour la sécurité (TechRepublic)
Pour ses recherches, Check Point a lancé une requête auprès du Service VirusTotal, qui vous permet de soumettre des fichiers et des applications pour voir s’ils contiennent des éléments malveillants. Le service vous permet également de rechercher des ressources non protégées, telles que des bases de données en ligne. Grâce à sa requête, les chercheurs de Check Point ont trouvé des bases de données non sécurisées utilisant Firebase.
Dans un exemple, une application de commerce électronique avait exposé par erreur ses informations d’identification de passerelle API et ses clés API, qui étaient toutes accessibles au public. Dans un autre cas, une application de fitness a révélé les coordonnées GPS et les informations sur la santé de ses utilisateurs.
Une application de rencontres a exposé plus de 50 000 messages privés de ses clients. Une application utilisée pour concevoir des logos et des graphiques a révélé les noms d’utilisateur, les mots de passe et les adresses e-mail de 130 000 utilisateurs. Une application pour une plate-forme audio sociale a exposé les coordonnées bancaires, les numéros de téléphone et les messages de chat des utilisateurs.
Une application de comptabilité pour les PME a révélé 280 000 numéros de téléphone associés à au moins 80 000 noms et adresses d’entreprises. Et une application de lecture de PDF a exposé des clés privées qui pourraient potentiellement aider un pirate à se connecter au réseau VPN de l’entreprise.
« Les mauvaises configurations du cloud sont les conséquences d’un manque de sensibilisation, de politiques appropriées et de formation à la sécurité qui sont encore renforcées et nécessaires avec le nouveau modèle hybride de travail à domicile », a déclaré Check Point dans son rapport. « De mauvaises pratiques de sécurité peuvent causer des dommages importants, et il n’y a qu’un seul clic pour y remédier. »
De nombreuses applications mobiles en développement sont téléchargées sur des plateformes comme VirusTotal, selon Check Point. Les développeurs le font parce qu’ils veulent s’assurer que leurs applications ne seront pas signalées comme malveillantes. Parmi toutes les applications téléchargées sur VirusTotal, plus de 2 000 d’entre elles, soit environ 5 %, ont été interceptées avec des bases de données ouvertes et accessibles.
VOIR: Violation de mot de passe : pourquoi la culture pop et les mots de passe ne font pas bon ménage (PDF gratuit) (TechRepublic)
La recherche d’applications et de bases de données non protégées via le site VirusTotal comme l’a fait Check Point n’est pas un processus facile. Cela nécessite un compte VirusTotal VT Enterprise payant et coûteux, pas quelque chose que la personne moyenne aurait. Mais il existe d’autres moyens de trouver les données exposées.
« Dans ce rapport, nous traitons VirusTotal uniquement comme un stockage centralisé des applications mobiles, ce qui nous permet de fonctionner facilement avec de nombreuses applications et de collecter des statistiques », a déclaré Alexandra Gofman, chercheuse en sécurité pour Check Point. « Les milliers de bases de données qui exposent des données sensibles sont les bases de données cloud qui sont utilisées par les applications mobiles elles-mêmes. Ainsi, ayant une application spécifique, de VirusTotal, ou de Google Play Store, ou de n’importe quel magasin tiers, toute personne non qualifiée peut vérifier si elle utilise la base de données cloud Firebase et accéder facilement à toutes les données si la base de données n’était pas correctement sécurisée.
VOIR: Évolution des logiciels malveillants mobiles en 2021 : moins d’attaques, des dangers croissants (TechRepublic)
Pour aider les développeurs qui utilisent des services basés sur le cloud à s’assurer que leurs bases de données sont renforcées, Check Point propose les conseils suivants :
- Services Web Amazon. Pour adhérer à AWS CloudGuard S3 Bucket Security, suivez la règle spécifique pour «Assurez-vous que les compartiments S3 ne sont pas accessibles au public.”
- Plate-forme Google Cloud. Assurez-vous que votre base de données de stockage en nuage n’est pas anonyme ou publiquement accessible en adhérant à un règle spécifique dans la base de connaissances de Google.
- Microsoft Azure. Assurez-vous que la règle d’accès au réseau par défaut pour les comptes de stockage est définie sur ID de règle de refus.