Accéder au contenu principal

Des millions de données sensibles exposées dans le back-end des apps mobiles

Les données mobiles ne sont toujours pas assez sécurité selon une étude menée par des chercheurs de l'Université Technique et de l'Institut Fraunhofer SIT de Darmstadt.
Selon une étude récente, les services back-end dans le cloud sur lesquels s’appuient des milliers d’apps mobiles, dont certaines très populaires, exposent à tout vent des masses de données sensibles créées par les utilisateurs. Tel est le constat fait par des chercheurs de l'Université Technique et de l'Institut Fraunhofer SIT pour les technologies de l'information sécurisées de Darmstadt, en Allemagne, qui ont présenté leurs résultats vendredi dernier lors de la conférence sur la sécurité Black Hat Europe qui s’est tenue à Amsterdam du 10 au 13 novembre.
Leur étude s’est intéressée aux applications qui utilisent les frameworks Backend-as-a-Service (BaaS) de fournisseurs comme Facebook, Parse, CloudMine ou encore Amazon Web Services. Les frameworks BaaS tournant dans le cloud prennent en charge le stockage des bases de données, les notifications push, l'administration des utilisateurs et d'autres services que les développeurs peuvent facilement utiliser dans leurs applications. Grâce à ces frameworks, ils n’ont pas besoin d’avoir les connaissances nécessaires pour maintenir les serveurs back-end de leur application. La seule chose qu’ils ont à faire est de s’abonner à un fournisseur BaaS, d’intégrer son kit de développement logiciel (SDK) dans leurs applications, et utiliser ses services avec de simples API.

Des clefs très faciles à récupérer

C’est justement en regardant la façon dont les développeurs utilisaient les API que les chercheurs ont découvert que beaucoup d'entre eux intégraient leurs clés d'accès BaaS primaires dans leurs applications. Cette pratique est très dangereuse, parce que les applications, surtout les apps mobiles, peuvent être facilement décortiquées par ingénierie inverse pour extraire les informations d'identification et accéder aux bases de données installées dans le back-end. Pour apprécier l'ampleur du problème, les chercheurs ont mis au point un outil d'analyse statique et dynamique qui permet d’identifier le fournisseur BaaS auquel se connecte l’application et extraire les clés d'accès, même quand elles sont brouillées ou générées au moment de la mise en route de l’app. Sur plus de deux millions d'apps Android et iOS testées, les chercheurs du Fraunhofer SIT ont réussi à extraire un millier d’identifiants back-end et les noms des tables de base de données associées. Ils ont aussi remarqué que ces identifiants étaient souvent réutilisés par les développeurs dans leurs apps, si bien qu’au total, ils ont pu avoir accès à plus de 18,5 millions de données représentant 56 millions d'éléments de données.

Les chercheurs n’ont pas téléchargé ces éléments, mais ils ont pu les comptabiliser et déterminer leur type en examinant simplement les tables de base de données. Dans ces documents, ils ont trouvé des informations relatives à des accidents de voiture, des données de localisation spécifiques, des dates anniversaires, des informations de contact, des numéros de téléphone, des photos, des adresses mails valides, des données d'achats en ligne, des messages privés, des données sur la croissance des nourrissons. Ils ont également pu avoir accès à des sauvegardes complètes du serveur. Les chercheurs ont même trouvé un cheval de Troie mobile qui utilisait un service BaaS pour stocker des données et des messages SMS récupérés sur des terminaux infectés, avec les indications de commandes des attaquants et des informations sur la planification des tâches.

sources : http://www.lemondeinformatique.fr/actualites/lire-des-millions-de-donnees-sensibles-exposees-dans-le-back-end-des-apps-mobiles-62999.html?utm_content=buffer71b35&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

BYOD, cloud, reseaux sociaux ..... attention à la sécurité

De plus en plus de collaborateurs utilisent leurs appareils personnels en entreprise et se connectent au cloud et aux réseaux sociaux dans un contexte professionnel. Comment garantir la sécurité de ces nouveaux usages ? Mauro Israel, consultant formateur Demos et responsable du pôle audit sécurité et tests d’intrusion chez Fidens, dresse la liste des risques et donc des bonnes pratiques à adopter. Les nouveaux usages remettent en question les modèles classiques de protection des systèmes d’information et des infrastructures réseaux et télécoms.     ● Facebook, Twitter, Linkedin, Viadeo… Vous le savez, les réseaux sociaux ont envahi notre quotidien, privé comme professionnel.     ● L’utilisation des smartphones et des tablettes explose en France : en 2012, en moyenne, 29 % des Français étaient ainsi équipés d'un smartphone et 8 % d'une tablette (+ 12 points chez les cadres supérieurs et + 11 points chez les revenus les plus élevés en un an).     ● C...
Enregistrer un commentaire
Lire la suite

Une faille Windows exploitée par la Russie

Une vulnérabilité critique a été détectée dans Windows. Selon un cabinet de sécurité informatique, cette brèche est exploitée depuis plusieurs années par les autorités russes pour espionner des cibles comme l'OTAN, la Pologne ou encore l'Ukraine. Un opérateur télécoms français est aussi concerné. C'est une découverte qui ne devrait pas améliorer les relations entre l'Occident et la Russie, qui sont déjà fortement tendues à cause de la crise ukrainienne. Selon la firme  iSight Partners , dont la spécialité est la sécurité informatique, la Russie a exploité pendant des années une faille critique dans Windows pour espionner de nombreuses cibles en Europe et aux États-Unis. Cette vulnérabilité affecte toutes les versions de Windows à partir du second Service Pack de Vista. Même la toute dernière déclinaison du système d'exploitation, Windows 8.1, est touchée. Par ailleurs, elle a été aussi détectée dans les versions 2008 et 2009 de Windows Server. Il s'ag...
Enregistrer un commentaire
Lire la suite

LA SÉCURITÉ IT D’ADOBE BATTUE EN BRÈCHE

Des millions de codes d’accès de comptes utilisateurs évaporés, diffusion incontrôlée de codes sources de produits…Adobe traverse une passe difficile, qui nécessiterait un examen de conscience. Facebook  préfère prendre les devants tant la brêche de  sécurité IT  chez  Adobe  a été énorme. Le réseau social a demandé à ses membres utilisant la même combinaison de codes d’accès (identifiant et mot de passe) de modifier leur formule.  Si vous avez été affecté,  laissez-nous votre témoignage dans les commentaires. C’est une mesure de précaution prise par le réseau social afin d’éviter des éventuels dégâts collatéraux c’est à dire des accès frauduleux sur la plateforme communautaire en empruntant des profils piratés via Adobe. Interrogé sur le blog  KrebsOnSecurity , Jay Nancarrow, porte-parole de Facebook, a confirmé cette mesure, sans toutefois indiquer le nombre de membres du réseau social contactés dans ce sens. « Nous restons vig...
Enregistrer un commentaire
Lire la suite