Accéder au contenu principal

Des millions de données sensibles exposées dans le back-end des apps mobiles

Les données mobiles ne sont toujours pas assez sécurité selon une étude menée par des chercheurs de l'Université Technique et de l'Institut Fraunhofer SIT de Darmstadt.
Selon une étude récente, les services back-end dans le cloud sur lesquels s’appuient des milliers d’apps mobiles, dont certaines très populaires, exposent à tout vent des masses de données sensibles créées par les utilisateurs. Tel est le constat fait par des chercheurs de l'Université Technique et de l'Institut Fraunhofer SIT pour les technologies de l'information sécurisées de Darmstadt, en Allemagne, qui ont présenté leurs résultats vendredi dernier lors de la conférence sur la sécurité Black Hat Europe qui s’est tenue à Amsterdam du 10 au 13 novembre.
Leur étude s’est intéressée aux applications qui utilisent les frameworks Backend-as-a-Service (BaaS) de fournisseurs comme Facebook, Parse, CloudMine ou encore Amazon Web Services. Les frameworks BaaS tournant dans le cloud prennent en charge le stockage des bases de données, les notifications push, l'administration des utilisateurs et d'autres services que les développeurs peuvent facilement utiliser dans leurs applications. Grâce à ces frameworks, ils n’ont pas besoin d’avoir les connaissances nécessaires pour maintenir les serveurs back-end de leur application. La seule chose qu’ils ont à faire est de s’abonner à un fournisseur BaaS, d’intégrer son kit de développement logiciel (SDK) dans leurs applications, et utiliser ses services avec de simples API.

Des clefs très faciles à récupérer

C’est justement en regardant la façon dont les développeurs utilisaient les API que les chercheurs ont découvert que beaucoup d'entre eux intégraient leurs clés d'accès BaaS primaires dans leurs applications. Cette pratique est très dangereuse, parce que les applications, surtout les apps mobiles, peuvent être facilement décortiquées par ingénierie inverse pour extraire les informations d'identification et accéder aux bases de données installées dans le back-end. Pour apprécier l'ampleur du problème, les chercheurs ont mis au point un outil d'analyse statique et dynamique qui permet d’identifier le fournisseur BaaS auquel se connecte l’application et extraire les clés d'accès, même quand elles sont brouillées ou générées au moment de la mise en route de l’app. Sur plus de deux millions d'apps Android et iOS testées, les chercheurs du Fraunhofer SIT ont réussi à extraire un millier d’identifiants back-end et les noms des tables de base de données associées. Ils ont aussi remarqué que ces identifiants étaient souvent réutilisés par les développeurs dans leurs apps, si bien qu’au total, ils ont pu avoir accès à plus de 18,5 millions de données représentant 56 millions d'éléments de données.

Les chercheurs n’ont pas téléchargé ces éléments, mais ils ont pu les comptabiliser et déterminer leur type en examinant simplement les tables de base de données. Dans ces documents, ils ont trouvé des informations relatives à des accidents de voiture, des données de localisation spécifiques, des dates anniversaires, des informations de contact, des numéros de téléphone, des photos, des adresses mails valides, des données d'achats en ligne, des messages privés, des données sur la croissance des nourrissons. Ils ont également pu avoir accès à des sauvegardes complètes du serveur. Les chercheurs ont même trouvé un cheval de Troie mobile qui utilisait un service BaaS pour stocker des données et des messages SMS récupérés sur des terminaux infectés, avec les indications de commandes des attaquants et des informations sur la planification des tâches.

sources : http://www.lemondeinformatique.fr/actualites/lire-des-millions-de-donnees-sensibles-exposees-dans-le-back-end-des-apps-mobiles-62999.html?utm_content=buffer71b35&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Top 10 des virus informatiques les plus dangereux en 2016

Alors que toutes nos données deviennent numériques, les hackers redoublent d’ingéniosité pour développer des virus informatiques toujours plus performants et dangereux. Si vous n’avez pas installé d’anti-virus sur votre ordinateur, ce top 10 des pires virus connus en 2016 devrait finir de vous convaincre de vous équiper… Un virus informatique est un programme autoréplicatif à la base non malveillant, mais aujourd’hui le plus souvent additionné de code malveillant par le pirates informatiques ou “hackers”. Conçu pour se propager à d’autres ordinateurs en s’insérant dans des logiciels légitimes, il peut perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il peut se répandre par tout moyen d’échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, les smartphones… En 2016, les hackers ne manquent pas de créativité et continuent de développer des virus informatiques de plus en plus performants. Ces derniers leu
Enregistrer un commentaire
Lire la suite

Un million de comptes Google compromis à cause d’un virus sur mobiles

Le spécialiste en sécurité informatique CheckPoint a découvert un nouveau malware qui infecterait plus de 13.000 smartphones Android par jour par le biais de fausses applications. L’équipe de recherche de Check Point avait déjà rencontré le code de Gooligan dans l’application malveillante SnapPea l’année dernière. En août 2016, le logiciel malveillant est réapparu sous la forme d’une nouvelle variante et aurait depuis infecté plus d’un million de smartphones Android à travers le monde. Selon CheckPoint, 57% des appareils infectés seraient situés en Asie, et seulement 9% en Europe. Le danger ici vient du fait qu’une fois installé, le malware est capable de “rooter” la machine et de dérober les adresses email et les jetons d’authentification qu’elle stocke. Concrètement, plus d’un million de comptes Google auraient ainsi été compromis. Outre dérober les informations, les pirates profitent également du piratage pour générer des revenus frauduleux en installant des
Enregistrer un commentaire
Lire la suite

"Le pouvoir de Google est inégalé dans l'Histoire"

Alors que Bruxelles sévit contre le moteur de recherche "ultra-dominant", le lobbyiste Jacques Lafitte souhaite qu'il change d'attitude.  Le Point.fr. La Commission s'apprête à notifier des griefs à Google. Pourquoi est-ce important ? Jacques Lafitte. Google est en position ultra-dominante sur le marché de la recherche généraliste sur Internet depuis déjà dix ans. Petit à petit, Google a dominé certaines recherches spécialisées comme les recherches géographiques. Google possède aussi YouTube, dont le pouvoir est gigantesque. Demain, il sera présent dans des domaines encore plus sensibles comme les finances personnelles et la santé. Et Google abuse de sa position dominante d'une foule de façons, parfois subtiles, parfois violentes, et au total diaboliquement efficaces. Certains érudits sont tentés de comparer Google au Big Brother de George Orwell ; moi, je constate surtout le carnage au quotidien, avec les sociétés novatrices comme 1plusV &
Enregistrer un commentaire
Lire la suite