Des milliers d’apps iOS exposent les données utilisateurs sur le Cloud
- Medhi Naitmazi
- Il y a 4 ans
- 💬 5 coms
- 🔈 Écouter
Malgré les efforts manifestes d'Apple pour assurer la sécurité d'iOS, il est difficile de contrôler la manière dont les applications tierces stockent les données des utilisateurs. Une nouvelle étude de la société de sécurité mobile Zimperium a révélé que des milliers d'applications iOS et Android exposent les informations personnelles des utilisateurs sur de services cloud mal configurés.
47 000 apps iOS concernées par des fuites de données
Comme expliqué par Wired, Zimperium a analysé plus de 1,3 million d'applications iOS et Android pour identifier les erreurs de configuration du cloud qui entraînent une exposition des données des utilisateurs.
Parmi toutes les applications analysées, 47 000 applications iOS et 84 000 applications Android ont utilisé des services de cloud public tels qu'Amazon Web Services, Google Cloud ou Microsoft Azure au lieu d'avoir leurs propres serveurs.
La recherche a révélé qu'au moins 14% de ces applications utilisant des services de cloud public exposaient les informations personnelles des utilisateurs, y compris les mots de passe et les données de santé, en raison de mauvaises configurations permettant aux pirates d'accéder à ces données et même de les modifier.
Shridhar Mittal, PDG de Zimperium, explique que nombre de ces développeurs n'ont pas correctement configuré le service cloud qu'ils utilisent pour éviter de telles violations.
Les groupes de piratage effectuent déjà ce type d'analyse pour trouver les erreurs de configuration du cloud dans les services Web. Et Mittal dit qu'en plus des données utilisateur sensibles, les chercheurs ont également trouvé des informations d'identification réseau, des fichiers de configuration système et des clés d'architecture de serveur dans certains des stockages d'applications exposés que les attaquants pourraient potentiellement utiliser pour obtenir un accès plus approfondi aux systèmes numériques d'une organisation.
Bien que les fournisseurs de services cloud tels qu'Amazon Web Services disposent d'outils pour détecter d'éventuelles erreurs de configuration, la responsabilité principale d'éviter ce type de situation incombe aux développeurs. Malheureusement, la plupart des utilisateurs n'ont aucune idée que leurs données peuvent être exposées sur le Web par des applications en lesquelles ils ont confiance.
Zimperium a contacté les développeurs de certaines des applications analysées, mais la plupart d'entre eux n'ont pas répondu à une demande de correction dans leurs applications. Les chercheurs affirment que non seulement les applications de petits développeurs ont été affectées par des erreurs de configuration des services cloud, mais également des applications de grandes entreprises.
L'une des applications en question est un portefeuille mobile d'une société Fortune 500 qui expose certaines informations de session utilisateur et des données financières. Une autre est une application de transport d'une grande ville qui expose des données de paiement. Les chercheurs ont également trouvé des applications médicales avec des résultats de tests et même des images de profil d'utilisateurs à l'air libre.
Les chercheurs espèrent que le rapport d'aujourd'hui permettra à davantage de développeurs de vérifier l’utilisation de tels services pour stocker les données de leurs utilisateurs.