Skip to main content

Des applications Android populaires mettent en danger les données personnelles de 100 millions d'utilisateurs

Sécurité sur Android
(Crédit photo: Google)

Des chercheurs en sécurité ont découvert que certaines applications Android populaires ont facilité la fuite des données confidentielles de plus de 100 millions d'utilisateurs, après que leurs développeurs aient omis de configurer correctement leurs services Cloud tiers.

Cette mauvaise nouvelle fait suite à l’étude approfondie de 23 applications Android, réalisée par le service d’analyses Check Point Research (CPR) spécialisé dans les cybermenaces. Lesdites recherches ont permis de déterminer les types d’informations privées les plus à même d’être partagées - principalement des courriels, des messages de discussion, des données de localisation, des mots de passe et des photos. Ce qui, selon CPR, pourrait conduire à des vols d'identité et à des fraudes.

L'entreprise de cybersécurité met en garde sur nos usages des plateformes cloud telles que les services de stockage en ligne ou les bases de données dans le cloud. Si celles-ci s’avèrent aujourd’hui une partie inhérente du flux de travail des développeurs d'applications mobiles, beaucoup d’entre eux refusent encore de suivre les meilleures pratiques de sécurité lors de leur configuration.  

"Les solutions modernes basées sur le cloud sont devenues la nouvelle norme dans le monde du développement d'applications mobiles. Pourtant, les développeurs négligent souvent l'aspect sécurité de ces services, leur configuration et, bien sûr, leur contenu", déclare CPR.

Une mine de trésors

Les experts du CPR notent qu'il ne leur a pas fallu beaucoup d'efforts pour accéder aux données sensibles des bases de données de treize applications Android, dont beaucoup ont été téléchargées par millions.

Plus troublant encore, le CPR a trouvé des clés pour contrôler les notifications push et l’espace de stockage intégrés dans un certain nombre d'applications Android. Si des cybercriminels parviennent à mettre la main sur ces clés, ils pourront transmettre plus aisément des contenus malveillants par le biais de notifications envoyées aux utilisateurs de l'application.

De même, la récupération des clés associées à l’espace de stockage en ligne de certaines applications plébiscitées permet de consulter les informations des comptes utilisateurs soumises au préalable. 

Le CPR a identifié plusieurs applications, ainsi que leurs lacunes en matière de sécurité, tout en précisant qu'il a contacté Google et les développeurs des applications concernées avant de partager ses conclusions.

"Quelques-unes de ces applications ont depuis modifié leur configuration", indique le CPR, suggérant que de nombreuses applications ne se sont pas amendées malgré les avertissements.