Accéder au contenu principal

Des millions de données sensibles exposées dans le back-end des apps mobiles

Les données mobiles ne sont toujours pas assez sécurité selon une étude menée par des chercheurs de l'Université Technique et de l'Institut Fraunhofer SIT de Darmstadt.
Selon une étude récente, les services back-end dans le cloud sur lesquels s’appuient des milliers d’apps mobiles, dont certaines très populaires, exposent à tout vent des masses de données sensibles créées par les utilisateurs. Tel est le constat fait par des chercheurs de l'Université Technique et de l'Institut Fraunhofer SIT pour les technologies de l'information sécurisées de Darmstadt, en Allemagne, qui ont présenté leurs résultats vendredi dernier lors de la conférence sur la sécurité Black Hat Europe qui s’est tenue à Amsterdam du 10 au 13 novembre.
Leur étude s’est intéressée aux applications qui utilisent les frameworks Backend-as-a-Service (BaaS) de fournisseurs comme Facebook, Parse, CloudMine ou encore Amazon Web Services. Les frameworks BaaS tournant dans le cloud prennent en charge le stockage des bases de données, les notifications push, l'administration des utilisateurs et d'autres services que les développeurs peuvent facilement utiliser dans leurs applications. Grâce à ces frameworks, ils n’ont pas besoin d’avoir les connaissances nécessaires pour maintenir les serveurs back-end de leur application. La seule chose qu’ils ont à faire est de s’abonner à un fournisseur BaaS, d’intégrer son kit de développement logiciel (SDK) dans leurs applications, et utiliser ses services avec de simples API.

Des clefs très faciles à récupérer

C’est justement en regardant la façon dont les développeurs utilisaient les API que les chercheurs ont découvert que beaucoup d'entre eux intégraient leurs clés d'accès BaaS primaires dans leurs applications. Cette pratique est très dangereuse, parce que les applications, surtout les apps mobiles, peuvent être facilement décortiquées par ingénierie inverse pour extraire les informations d'identification et accéder aux bases de données installées dans le back-end. Pour apprécier l'ampleur du problème, les chercheurs ont mis au point un outil d'analyse statique et dynamique qui permet d’identifier le fournisseur BaaS auquel se connecte l’application et extraire les clés d'accès, même quand elles sont brouillées ou générées au moment de la mise en route de l’app. Sur plus de deux millions d'apps Android et iOS testées, les chercheurs du Fraunhofer SIT ont réussi à extraire un millier d’identifiants back-end et les noms des tables de base de données associées. Ils ont aussi remarqué que ces identifiants étaient souvent réutilisés par les développeurs dans leurs apps, si bien qu’au total, ils ont pu avoir accès à plus de 18,5 millions de données représentant 56 millions d'éléments de données.

Les chercheurs n’ont pas téléchargé ces éléments, mais ils ont pu les comptabiliser et déterminer leur type en examinant simplement les tables de base de données. Dans ces documents, ils ont trouvé des informations relatives à des accidents de voiture, des données de localisation spécifiques, des dates anniversaires, des informations de contact, des numéros de téléphone, des photos, des adresses mails valides, des données d'achats en ligne, des messages privés, des données sur la croissance des nourrissons. Ils ont également pu avoir accès à des sauvegardes complètes du serveur. Les chercheurs ont même trouvé un cheval de Troie mobile qui utilisait un service BaaS pour stocker des données et des messages SMS récupérés sur des terminaux infectés, avec les indications de commandes des attaquants et des informations sur la planification des tâches.

sources : http://www.lemondeinformatique.fr/actualites/lire-des-millions-de-donnees-sensibles-exposees-dans-le-back-end-des-apps-mobiles-62999.html?utm_content=buffer71b35&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Juniper met en garde contre la présence de code-espion dans ses pare-feu

Quelques mois après les révélations d'Edward Snowden, Juniper signale la présence de code-espion, une back door, dans ses firewalls. Hier, le fabricant d'équipements réseaux Juniper a fait savoir qu'il avait trouvé du code suspect dans certains modèles de pare-feu de la marque. Cette découverte inquiétante semble faire écho aux soupçons de piratage des firewalls de Juniper par la NSA avec une back door, dont il était fait mention dans les documents fuités par Edward Snowden. Les produits affectés tournent avec ScreenOS, l'un des systèmes d'exploitation de Juniper, fonctionnant sur une série d’appliances utilisées comme pare-feu et comme support pour le VPN. Selon l’avis publié par l’équipementier, les versions 6.2.0r15 à 6.2.0r18 et 6.3.0r12 à 6.3.0r20 de ScreenOS sont vulnérables. « Le code non autorisé a été découvert pendant un audit récent mené en interne », a expliqué Bob Worrall, le CIO de Juniper. Mais le fabricant n'a pas don...
Enregistrer un commentaire
Lire la suite

Une nouvelle affaire de vol de millions de mots de passe

Le serveur qui hébergeait les données volées à Adobe renfermait aussi 42 millions de mots de passe dérobées à un site de rencontre australien.  Là encore, la sécurité mise en place autour de ces données paraît bien mince. Le blogueur spécialiste de sécurité  Brian Krebs  semble être tombé sur un nid : après avoir retrouvé sur un serveur utilisé par des hackers les  millions de données volées à Adobe,  mais aussi des informations piochées chez PR Newswire et au sein d’une organisation à but non lucratif chargé de lutter contre… le cybercrime, ce sont cette fois-ci 42 millions de mots de passe qu’a  récolté l’ex-journaliste . Ces sésames, disponibles en clair dans le fichier mis au jour,  proviennent de Cupid Media , un site australien spécialisé dans les rencontres en ligne. Selon cette société, ces informations résulteraient d’une  attaque détectée en janvier dernier . Elle affirme avoir depuis enjoint les utilisateurs concernés de m...
Enregistrer un commentaire
Lire la suite

Smartphones et tablettes : un gros manque de protection !

D'après Symantec, les internautes français sont davantage touchés par la cyber-criminalité sur mobile que leurs homologues européens, et rares sont ceux qui se protègent vraiment Les chiffres du "Norton Report 2013" montrent, en effet, un important besoin d'information et d'éducation des particuliers, mais aussi des entreprises sur les vulnérabilités des terminaux mobiles. 41 % des français utilisant des smartphones ont pourtant déjà été victimes d'actes de cybercriminalité au cours de l'année écoulée contre seulement 29 % en Europe et 38 % dans le monde. " Ce fort impact de la cybercriminalité sur mobile est à mettre en parallèle avec le fait que 60 % des utilisateurs de terminaux mobiles ne savent pas qu'il existe des solutions de sécurité pour terminaux mobiles " note Symantec. Il faut dire aussi qu'en France, 29 % des adultes utilisent leur terminal personnel à la fois pour travailler et pour jouer, contre 38 % e...
Enregistrer un commentaire
Lire la suite