Accéder au contenu principal

Des millions de données sensibles exposées dans le back-end des apps mobiles

Les données mobiles ne sont toujours pas assez sécurité selon une étude menée par des chercheurs de l'Université Technique et de l'Institut Fraunhofer SIT de Darmstadt.
Selon une étude récente, les services back-end dans le cloud sur lesquels s’appuient des milliers d’apps mobiles, dont certaines très populaires, exposent à tout vent des masses de données sensibles créées par les utilisateurs. Tel est le constat fait par des chercheurs de l'Université Technique et de l'Institut Fraunhofer SIT pour les technologies de l'information sécurisées de Darmstadt, en Allemagne, qui ont présenté leurs résultats vendredi dernier lors de la conférence sur la sécurité Black Hat Europe qui s’est tenue à Amsterdam du 10 au 13 novembre.
Leur étude s’est intéressée aux applications qui utilisent les frameworks Backend-as-a-Service (BaaS) de fournisseurs comme Facebook, Parse, CloudMine ou encore Amazon Web Services. Les frameworks BaaS tournant dans le cloud prennent en charge le stockage des bases de données, les notifications push, l'administration des utilisateurs et d'autres services que les développeurs peuvent facilement utiliser dans leurs applications. Grâce à ces frameworks, ils n’ont pas besoin d’avoir les connaissances nécessaires pour maintenir les serveurs back-end de leur application. La seule chose qu’ils ont à faire est de s’abonner à un fournisseur BaaS, d’intégrer son kit de développement logiciel (SDK) dans leurs applications, et utiliser ses services avec de simples API.

Des clefs très faciles à récupérer

C’est justement en regardant la façon dont les développeurs utilisaient les API que les chercheurs ont découvert que beaucoup d'entre eux intégraient leurs clés d'accès BaaS primaires dans leurs applications. Cette pratique est très dangereuse, parce que les applications, surtout les apps mobiles, peuvent être facilement décortiquées par ingénierie inverse pour extraire les informations d'identification et accéder aux bases de données installées dans le back-end. Pour apprécier l'ampleur du problème, les chercheurs ont mis au point un outil d'analyse statique et dynamique qui permet d’identifier le fournisseur BaaS auquel se connecte l’application et extraire les clés d'accès, même quand elles sont brouillées ou générées au moment de la mise en route de l’app. Sur plus de deux millions d'apps Android et iOS testées, les chercheurs du Fraunhofer SIT ont réussi à extraire un millier d’identifiants back-end et les noms des tables de base de données associées. Ils ont aussi remarqué que ces identifiants étaient souvent réutilisés par les développeurs dans leurs apps, si bien qu’au total, ils ont pu avoir accès à plus de 18,5 millions de données représentant 56 millions d'éléments de données.

Les chercheurs n’ont pas téléchargé ces éléments, mais ils ont pu les comptabiliser et déterminer leur type en examinant simplement les tables de base de données. Dans ces documents, ils ont trouvé des informations relatives à des accidents de voiture, des données de localisation spécifiques, des dates anniversaires, des informations de contact, des numéros de téléphone, des photos, des adresses mails valides, des données d'achats en ligne, des messages privés, des données sur la croissance des nourrissons. Ils ont également pu avoir accès à des sauvegardes complètes du serveur. Les chercheurs ont même trouvé un cheval de Troie mobile qui utilisait un service BaaS pour stocker des données et des messages SMS récupérés sur des terminaux infectés, avec les indications de commandes des attaquants et des informations sur la planification des tâches.

sources : http://www.lemondeinformatique.fr/actualites/lire-des-millions-de-donnees-sensibles-exposees-dans-le-back-end-des-apps-mobiles-62999.html?utm_content=buffer71b35&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Juniper met en garde contre la présence de code-espion dans ses pare-feu

Quelques mois après les révélations d'Edward Snowden, Juniper signale la présence de code-espion, une back door, dans ses firewalls. Hier, le fabricant d'équipements réseaux Juniper a fait savoir qu'il avait trouvé du code suspect dans certains modèles de pare-feu de la marque. Cette découverte inquiétante semble faire écho aux soupçons de piratage des firewalls de Juniper par la NSA avec une back door, dont il était fait mention dans les documents fuités par Edward Snowden. Les produits affectés tournent avec ScreenOS, l'un des systèmes d'exploitation de Juniper, fonctionnant sur une série d’appliances utilisées comme pare-feu et comme support pour le VPN. Selon l’avis publié par l’équipementier, les versions 6.2.0r15 à 6.2.0r18 et 6.3.0r12 à 6.3.0r20 de ScreenOS sont vulnérables. « Le code non autorisé a été découvert pendant un audit récent mené en interne », a expliqué Bob Worrall, le CIO de Juniper. Mais le fabricant n'a pas don...
Enregistrer un commentaire
Lire la suite

67% des applications Android gratuites les plus populaires seraient vulnérables aux attaques MITM

Les chercheurs en sécurité de FireEye ont publié ce jeudi une étude sur les applications du Google Play Store. Ils en ont conclu que la majorité des applications les plus populaires présentaient des failles SSL et étaient susceptibles de subir des attaques type Man-in-the-Middle (MITM). Ces chercheurs ont analysé les 1000 applications gratuites les plus téléchargées du Play Store. Ils y ont cherché trois vulnérabilités SSL précises et ont découvert que sur cet échantillon, 674 applications présentaient au moins l'une des trois failles. Mauvaise utilisation des bibliothèques SSL  Un risque important, puisque ce type d'attaque permet potentiellement de récupérer un nombre extensif de données : identifiants et mots de passe, emails, ID de l'appareil, géolocalisation, photos, vidéos... Sans compter qu'un attaquant pourrait injecter un code malicieux dans ces applications, par exemple. Les développeurs seraient bien à l'origine de cette situation, mais i...
Enregistrer un commentaire
Lire la suite

Top 10 des virus informatiques les plus dangereux en 2016

Alors que toutes nos données deviennent numériques, les hackers redoublent d’ingéniosité pour développer des virus informatiques toujours plus performants et dangereux. Si vous n’avez pas installé d’anti-virus sur votre ordinateur, ce top 10 des pires virus connus en 2016 devrait finir de vous convaincre de vous équiper… Un virus informatique est un programme autoréplicatif à la base non malveillant, mais aujourd’hui le plus souvent additionné de code malveillant par le pirates informatiques ou “hackers”. Conçu pour se propager à d’autres ordinateurs en s’insérant dans des logiciels légitimes, il peut perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il peut se répandre par tout moyen d’échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, les smartphones… En 2016, les hackers ne manquent pas de créativité et continuent de développer des virus informatiques de plus en plus performants. Ces der...
Enregistrer un commentaire
Lire la suite