Ils découvrent plus de 1800 applications Android et iOS avec des problèmes de sécurité

Ils découvrent plus de 1800 applications Android et iOS avec des problèmes de sécurité

Les attaquants pourraient accéder aux données des utilisateurs stockées dans le cloud d’Amazon en raison de failles de sécurité dans près de 2 000 applications

Ils découvrent plus de 1800 applications Android et iOS avec des problèmes de sécurité

Au total, 1 859 applications disponibles sur iOS et Android contiennent de graves vulnérabilités qui présentent un risque de sécurité sérieux. Cela a été détaillé par les experts en cybersécurité de Symantec, chargés d’exposer la faille qui aurait mis en danger les données privées des utilisateurs et des entreprises.

La vulnérabilité est liée aux jetons d’accès au service cloud Amazon Web Services. Apparemment, 77% des applications analysées contenaient les informations d’identification dans leur code, en vue d’éventuels attaquants qui pourraient les utiliser pour accéder à des services privés.

Tiroir d'applications d'un smartphone Android.

Certaines des applications que vous utilisez au quotidien peuvent présenter de graves problèmes de sécurité.

L’une des vulnérabilités a été exploitée pour extraire les données de milliers de clients d’une banque

Comme l’expliquent les chercheurs, les identifiants d’accès AWS sont normalement utilisés pour télécharger les ressources nécessaires à l’application pour remplir sa mission, y compris les fichiers de configuration ou les données d’authentification d’autres services.

Le problème est que plus de 1 800 applications analysées avaient les informations d’identification intégrées directement dans le code. Et ce qui est encore pire : plus de la moitié des applications utilisaient les mêmes identifiants d’accès que ceux utilisés par les applications d’autres sociétés et développeurs.

Pire encore, 47 % des applications identifiées contenaient des jetons AWS valides qui accordaient un accès complet à tous les fichiers privés et aux compartiments Amazon Simple Storage Service (S3) dans le cloud. Cela comprenait, entre autres, les fichiers d’infrastructure et les sauvegardes de données.

Après avoir analysé la vulnérabilité, les chercheurs ont détaillé le cas d’une entreprise qui fournit à d’autres entreprises une plate-forme de communication pour leurs clients ainsi qu’un kit de développement mobile, avait les clés d’accès intégrées dans le code SDK. Pour cette raison, les données de tous ses clients ont été exposées, y compris les données d’entreprise et les dossiers financiers appartenant à plus de 15 000 moyennes et grandes entreprises.

Ce n’est pas tout. Dans le cas de cinq applications appartenant à des entités bancaires, dirigées vers le système d’exploitation iOS, il a été possible d’obtenir les données d’accès biométriques de plus de 300 000 clients.

A ce jour, les entreprises en charge du développement des applications concernées ont déjà été notifiées par l’équipe de chercheurs. Malheureusement, Symantec n’a pas partagé de liste des applications affectées par la vulnérabilité.