Dans le contexte: Des vulnérabilités de sécurité se produisent. Cela fait simplement partie de la programmation de n’importe quelle application. Cependant, lorsque les défauts résultent de mauvaises pratiques de codage, le problème peut être particulièrement exaspérant. Le codage en dur des clés d’authentification dans l’application ou l’échec de la configuration de l’authentification sur une base de données en ligne est inacceptable de la part d’un développeur, et pourtant, c’est un phénomène assez courant.
Jeudi, la société de cybersécurité Check Point Research publié un rapport détaillant 23 Android avec des configurations et des implémentations de cloud médiocres qui ont potentiellement laissé des millions de données d’utilisateurs en danger. Les informations susceptibles d’avoir fui incluent des enregistrements de courrier électronique, des messages de chat, des informations de localisation, des images, des identifiants d’utilisateur et des mots de passe.
Plus de la moitié des applications ont plus de 10 millions de téléchargements chacune, de sorte que le nombre d’utilisateurs concernés est énorme. Check Point estime que ces applications peuvent avoir exposé plus de 100 millions de données d’utilisateurs.
La plupart des applications avaient des bases de données en temps réel que les développeurs laissaient largement ouvertes au public. Ce problème est courant et, selon le CPR, est «beaucoup trop vaste». Ses chercheurs ont constaté qu’ils avaient un accès gratuit aux informations des bases de données de plus de la moitié des applications qu’ils ont étudiées.
« De nombreux développeurs savent que stocker les clés des services cloud dans leur application est une mauvaise pratique. »
Ils ont également découvert que pas tout à fait la moitié des applications avaient leurs clés de stockage cloud intégrées dans le code de leurs applications. Par exemple, CPR a récupéré des clés à partir d’une application de télécopie appelée «iFax» qui leur aurait donné accès à chaque transmission de télécopie envoyée par plus d’un demi-million d’utilisateurs de l’application. Les chercheurs n’ont pas accédé à ces enregistrements pour des raisons éthiques, mais ont vérifié par l’analyse de code qu’ils auraient pu.
Un problème moins courant qu’ils ont découvert, mais qui mérite toujours d’être noté, était les touches de notification push codées en dur. Les clés de notification intégrées ne sont pas aussi sévères que d’avoir des clés de stockage cloud codées dans le programme, mais CPR explique que c’est une pratique tout aussi mauvaise.
« Bien que les données du service de notification push ne soient pas toujours sensibles, la possibilité d’envoyer des notifications au nom du développeur est plus que suffisante pour attirer les acteurs malveillants. Imaginez si une application de presse envoyait une fausse notification d’entrée de nouvelles à ses utilisateurs qui les a dirigés vers une page de phishing leur demandant de renouveler leur abonnement. Comme la notification provient de l’application officielle, les utilisateurs ne soupçonneront rien, car ils sont sûrs que cette notification a été envoyée par les développeurs. «
Check Point a déclaré qu’il avait informé les fabricants d’applications avant de divulguer ces vulnérabilités, et plusieurs ont fait un suivi avec des mises à jour pour résoudre les problèmes. Cependant, les 23 applications étudiées ne sont qu’un échantillon minuscule des 2,87 millions d’applications sur Google Play. Il y en aura probablement beaucoup plus qui utilisent ces mêmes mauvaises pratiques.