La découverte de 23 applications Android qui fuient par Recherche de point de contrôle (CPR) – qui, collectivement, ont pu mettre le données personnelles de plus de 100 millions d’utilisateurs à risque – a suscité de nouveaux avertissements et rappels sur l’importance pour les développeurs de logiciels de se tenir au courant des dérapages potentiels en matière de sécurité.
Check Point a déclaré avoir trouvé des données sensibles accessibles au public à partir de bases de données en temps réel dans 13 applications Android, avec entre 10000 et 10 millions de téléchargements chacune, et des notifications push et des clés de stockage dans le cloud intégrées dans de nombreuses applications elles-mêmes. Les applications vulnérables comprenaient des applications pour l’astrologie, les taxis, la création de logo, l’enregistrement d’écran et la télécopie, et les données exposées comprenaient des e-mails, des messages de chat, des métadonnées de localisation, des mots de passe et des photos.
Dans tous les cas, l’exposition est due au non-respect des meilleures pratiques lors de la configuration et de l’intégration services cloud tiers dans les applications. CPR a contacté Google et tous les fournisseurs d’applications avant la divulgation, dont certains ont depuis verrouillé leurs instances exposées.
«Les appareils mobiles peuvent être attaqués de différentes manières. Cela inclut le potentiel d’applications malveillantes, d’attaques au niveau du réseau et d’exploitation des vulnérabilités au sein des appareils et du système d’exploitation mobile », a déclaré l’équipe CPR dans un blog de divulgation.
«Les appareils mobiles devenant de plus en plus importants, ils ont reçu une attention supplémentaire de la part des cybercriminels. En conséquence, les cybermenaces contre ces appareils se sont diversifiées. Une solution efficace de défense contre les menaces mobiles doit pouvoir détecter et répondre à une variété d’attaques différentes tout en offrant une expérience utilisateur positive.
Veridium Le directeur de l’exploitation Baber Amin a déclaré qu’il n’y avait aucun moyen pour l’utilisateur Android moyen d’avoir la capacité technique d’évaluer chaque élément des applications qu’ils ont téléchargées, et comme le problème est l’un des règles d’accès mal configurées à l’arrière-plan, il n’y avait essentiellement rien qu’ils pouvaient fais. Cependant, ce sont toujours les utilisateurs qui souffriront de l’exposition de leurs données.
«Les appareils mobiles devenant de plus en plus importants, ils ont reçu une attention supplémentaire de la part des cybercriminels. En conséquence, les cybermenaces contre ces appareils se sont diversifiées. »
Recherche de point de contrôle
«Comme le résultat final est une fuite d’informations, qui comprend également les informations d’identification, les utilisateurs ont un contrôle sur bonne hygiène des mots de passe», A déclaré Amin.
«Les utilisateurs peuvent se protéger dans une certaine mesure par l’un des éléments suivants: ne pas réutiliser les mots de passe; ne pas utiliser de mots de passe avec des modèles évidents; garder un œil sur les messages d’autres services qu’ils utilisent lors des tentatives de connexion, des tentatives de réinitialisation de mot de passe ou des tentatives de récupération de compte; demander au propriétaire de l’application de prendre en charge les options sans mot de passe, demander au développeur de l’application de prendre en charge la biométrie native sur l’appareil, rechercher d’autres applications qui ont déclaré des pratiques de sécurité et de confidentialité, demander à Google et Apple de faire plus de diligence raisonnable sur la sécurité dorsale du applications qu’ils autorisent sur leur marché. »
Tom Lysemose Hansen, directeur technique de la société norvégienne de sécurité des applications Promon, a déclaré que les conclusions de Check Point étaient, dans l’ensemble, décevantes, car elles mettaient en évidence des «erreurs de recrue» dans la communauté des développeurs.
«S’il serait injuste de s’attendre à ce que quelqu’un ne commette jamais d’erreur, il s’agit de bien plus qu’un cas ponctuel. Les données des applications doivent toujours être protégées. C’est aussi simple que ça. Pas obscurci ou caché, mais protégé », a-t-il déclaré.
«L’accès aux messages des utilisateurs est déjà assez difficile, mais ce n’est pas le pire. Si un attaquant trouve un moyen d’accéder aux clés d’API, par exemple, il peut facilement les extraire et créer de fausses applications qui se font passer pour les vraies pour effectuer des appels d’API arbitraires, ou accéder d’une autre manière à l’infrastructure dorsale d’une application pour récupérer les informations des serveurs.
«Ces types d’attaques peuvent entraîner de graves violations de données et, outre les amendes associées, peuvent avoir des effets néfastes sur la réputation de la marque», a ajouté Hansen.
Trevor Morgan, chef de produit chez comforte AG, a déclaré que la surface d’attaque accrue permise par les environnements cloud rendait la sécurité plus difficile pour les entreprises qui en dépendent.
«Avec une stratégie hybride et multicloud, les données sont dispersées sur plusieurs clouds ainsi que sur leurs propres centres de données. La sécurité des données devient encore plus difficile à gérer à mesure que la complexité de l’infrastructure cloud augmente », a-t-il déclaré.
«Combinées à une culture DevOps moderne, les erreurs de configuration et les exigences générales de sécurité qui sont négligées ou totalement ignorées deviennent monnaie courante», a-t-il déclaré.
“Combinées à une culture DevOps moderne, les erreurs de configuration et les exigences générales de sécurité qui sont négligées ou totalement ignorées deviennent monnaie courante”
Trevor Morgan, Comforte AG
Étant donné que de nombreuses applications ont besoin de données potentiellement sensibles pour fonctionner correctement, en particulier celles qui génèrent des revenus, la protection des données doit être une partie importante du processus de développement et du cadre de protection global, a déclaré Morgan.
Il a conseillé aux développeurs d’adopter des pratiques de sécurité centrées sur les données pour protéger les données même si d’autres couches de sécurité échouent ou sont contournées, et a déclaré que ceux qui utilisent des technologies telles que la tokenisation et le cryptage préservant le format étaient bien mieux placés pour garantir qu’un incident tel qu’un Un service cloud mal configuré ne se transforme pas nécessairement en une violation de données à part entière.
Mais Chenxi Wang, associé général du spécialiste de l’investissement en sécurité Capitale de la pluie et un ancien vice-président de la recherche de Forrester, a déclaré que la responsabilité ne devrait pas incomber entièrement aux développeurs d’applications.
«Les développeurs ne savent pas toujours ce qu’il faut faire en matière de sécurité. Les plates-formes d’applications telles que Google Play et Apple Appstore doivent fournir des tests plus approfondis et inciter les développeurs à adopter le bon comportement pour renforcer la sécurité dès le début », a déclaré Wang.
«Cette découverte souligne l’importance des tests et de la vérification des applications axées sur la sécurité», a-t-elle ajouté.
