More Than 4,000 Android Apps are Reportedly Leaking User Passwords

4 Thousand Android Apps Leak Sensitive Information

Certaines personnes peuvent produire une longue liste d'arguments contre l'utilisation d'Android, et vous pouvez parier que la sécurité sera presque au sommet. La publication d'applications sur Google Play est beaucoup plus facile par rapport à l'App Store d'Apple, et les opérateurs de logiciels malveillants en profitent pleinement. Malgré les nombreuses campagnes et les précautions de sécurité qui ont été mises en œuvre, les applications malveillantes parviennent toujours à passer à travers les mailles du filet de temps en temps, et les utilisateurs d'Android sont constamment rappelés de faire attention aux logiciels qu'ils installent et utilisent.

Une étude récente menée par une équipe de chercheurs de Comparitech, cependant, montre que peu importe votre vigilance, vous pouvez toujours exposer vos données. Selon elle, grâce à certaines erreurs de configuration, des millions d'enregistrements enregistrés par des milliers d'applications sont accessibles avec une seule requête de recherche, et cette fois, le problème n'est pas limité à Android.

Des milliers d'applications basées sur Firebase stockent les données des utilisateurs dans des bases de données non protégées

L'équipe d'experts était dirigée par Bob Diachenko qui voulait en savoir plus sur la façon dont les développeurs utilisent Firebase. Firebase est une plate-forme de développement d'applications qui fournit aux programmeurs un certain nombre d'outils pour gérer les applications mobiles et Web, y compris des mécanismes d'authentification et des capacités de messagerie cloud. Diachenko était intéressé par les mécanismes de stockage de données de Firebase.

La recherche a commencé avec un peu plus d'un demi-million d'applications Android. 155 000 d'entre eux étaient basés sur Firebase, et il a utilisé l'API REST de la plateforme pour accéder aux données stockées par les applications. Les bases de données de 11 730 des applications étaient accessibles au public et n'étaient pas protégées par un mot de passe, et 4 282 d'entre elles contenaient des informations sensibles. Les données divulguées comprenaient, entre autres:

  • 156 mille adresses IP
  • 560 mille adresses physiques
  • 1 million de mots de passe
  • 4,4 millions de noms d'utilisateurs
  • 5,3 millions de numéros de téléphone
  • 6,2 millions d'enregistrements contenant des données GPS
  • 6,8 millions de messages de chat
  • 7 millions d'adresses e-mail
  • 18,3 millions de noms

En plus de tout cela, certains des dossiers exposés contenaient également des données de carte de crédit et même des photos de documents d'identité.

Plus inquiétant encore, les données sont stockées au format JSON et indexées par Bing. En d'autres termes, le téléchargement d'une base de données complète remplie d'informations sensibles pourrait être aussi simple que d'entrer une requête dans le moteur de recherche de Microsoft.

Quelle est l'ampleur du problème exactement?

Pour souligner la gravité de la situation, l'équipe de Diachenko a tenté de mettre les chiffres en perspective. Les applications vulnérables représentent moins de 1% de toutes les applications analysées par les experts, ce qui peut ne pas sembler beaucoup, mais si nous supposons que le taux est le même pour l'ensemble du Play Store, nous arriverions à la conclusion qu'environ 24 des milliers d'applications proposées sur Google Play fuient des données sensibles. Et si vous pensez que ce n'est pas si mal, vous devriez probablement considérer le fait que les 4282 applications que Diachenko et son équipe ont examinées ont un nombre de téléchargements combiné de 4,22 milliards.

Le problème s'étend au-delà de Google Play et d'Android. Les développeurs d'applications Web et iOS utilisent également Firebase, et nous ne pouvons que deviner combien d'entre eux ont fait la même erreur de configuration.

Les créateurs des 4282 applications vulnérables ont été invités à sécuriser leurs bases de données après que Diachenko a divulgué le problème à Google, et les développeurs d'applications mobiles sont invités à être un peu plus prudents lors de la configuration de leurs applications basées sur Firebase. Pendant ce temps, les utilisateurs sont invités à utiliser des mots de passe uniques pour tous leurs comptes et à ne pas partager trop d'informations avec les applications de leur smartphone. Malheureusement, dans ce cas particulier, c'est tout ce qu'ils peuvent faire.

Par Duran
May 13, 2020
News
Français
May 13, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.