Des milliers d’applications Android exposent les données des utilisateurs. Des millions d’adresses e-mail, numéros de téléphones et mots de passe sont accessibles sur le Web à cause d’erreurs de configuration de la plateforme de développement d’applications mobiles Google Firebase.
au sommaire
Des applicationsapplications AndroidAndroid totalisant plus de 4,2 milliards de téléchargements publient les données de leurs utilisateurs sur le Web. Une équipe de chercheurs en sécurité de Comparitech menée par Bob Diachenko a examiné plus de 515,735 applications du Play Store de GoogleGoogle. Parmi celles-ci, 4,282 exposaient publiquement des données sensibles. La cause du problème serait une erreur de configuration de la plateforme de développement mobilemobile Google Firebase. Les bases de données complètes de ces applications seraient accessibles en ajoutant simplement « .json » à la fin de leurs adresses Web Firebase.
Les applications étudiées ont exposé plus de 7 millions d'adresses e-mail et presque autant de messages de discussions, 4 millions d'identifiants et un million de mots de passe. La fuite continue avec plus de 5 millions de numéros de téléphone, 18 millions de noms complets et un demi-million d'adresses postales. Les chercheurs ont même relevé des adresses IP, des numéros de carte bancaire et des photos de pièces d'identité.
Des erreurs de configuration qui pourraient affecter iOS et le Web
Les chercheurs n'ont vérifié que 18 pourcents des applications du Play Store. Ramené à l'ensemble du catalogue, cette faille pourrait potentiellement concerner 24.000 applications Android. De plus, le problème ne se limite pas au système d'exploitation mobile de Google, puisque la plateforme Firebase permet également de créer des applications pour iOSiOS et le Web. La quantité d'informations exposée est donc potentiellement beaucoup plus importante.
En tout, les chercheurs ont réussi à accéder aux bases de données de 11.730 applications. Parmi celles-ci, 9.014 étaient également accessibles en écriture. Il serait donc possible de modifier la base de données pour utiliser l'application à des fins de phishing ou pour propager des malwares. Contacté par Comparitech, Google a déclaré notifier les développeurs des erreurs de configuration. Cette fuite montre encore une fois l'importance d'éviter de partager des données confidentielles avec les applications, et de choisir un mot de passe différent pour chaque compte.