La découverte de 23 applications Android qui fuient par Check Point Research (CPR) – qui peuvent, collectivement, mettre en danger les données personnelles de plus de 100 millions d’utilisateurs – a suscité de nouveaux avertissements et rappels sur la critique qu’il est pour les développeurs de logiciels de se tenir au fait des dérapages potentiels en matière de sécurité.
Check Point a déclaré qu’il a trouvé publiquement disponibles, des données sensibles à partir de bases de données en temps réel dans 13 applications Android, avec entre 10.000 et 10 millions de téléchargements chacun, et pousser la notification et les clés de stockage cloud intégré dans la plupart des applications elles-mêmes. Les applications vulnérables comprenaient des applications pour l’astrologie, les taxis, la fabrication de logos, l’enregistrement d’écran et le télécopieur, et les données exposées comprenaient des courriels, des messages de chat, des métadonnées de localisation, des mots de passe et des photos.
Dans tous les cas, l’exposition s’est produit en raison d’un non-respect des meilleures pratiques lors de la configuration et de l’intégration de services cloud tiers dans les applications. CPR a communiqué avec Google et tous les fournisseurs d’applications avant la divulgation, dont certains ont depuis verrouillé leurs instances exposées.
« Les appareils mobiles peuvent être attaqués de différentes façons. Cela inclut le potentiel d’applications malveillantes, d’attaques au niveau du réseau et d’exploitation des vulnérabilités dans les appareils et le système d’exploitation mobile », a déclaré l’équipe du CFCP dans un blogue de divulgation.
« À mesure que les appareils mobiles prennent de plus en plus d’importance, ils ont reçu une attention supplémentaire de la part des cybercriminels. En conséquence, les cybermenaces contre ces appareils sont devenues plus diversifiées. Une solution mobile efficace de défense des menaces doit être en mesure de détecter et de répondre à une variété d’attaques différentes tout en offrant une expérience utilisateur positive.
Veridium chef de l’exploitation Baber Amin a déclaré qu’il n’y avait aucun moyen de l’utilisateur Moyen Android aurait la capacité technique d’évaluer chaque élément des applications qu’ils ont téléchargé, et depuis le problème est l’une des règles d’accès mal configuré à l’arrière, il n’y avait essentiellement rien qu’ils pouvaient faire. Cependant, ce sont toujours les utilisateurs qui souffriront de l’exposition de leurs données.
« À mesure que les appareils mobiles prennent de plus en plus d’importance, ils ont reçu une attention supplémentaire de la part des cybercriminels. En conséquence, les cybermenaces contre ces appareils sont devenues plus diversifiées »
Vérifier la recherche de points
« Comme le résultat final est la fuite d’informations, qui comprend également des informations d’identification, une chose que les utilisateurs ont le contrôle sur est une bonne hygiène de mot de passe », a déclaré Amin.
« Les utilisateurs peuvent se protéger dans une certaine mesure par l’un des éléments suivants: ne pas réutiliser les mots de passe; ne pas utiliser de mots de passe avec des modèles évidents; garder un œil sur les messages provenant d’autres services qu’ils utilisent sur les tentatives de connexion, les tentatives de réinitialisation de mot de passe ou les tentatives de récupération de compte; demandez au propriétaire de l’application de prendre en charge les options sans mot de passe, demandez au développeur d’application de prendre en charge la biométrie native sur l’appareil, recherchez d’autres applications qui ont énoncé les pratiques en matière de sécurité et de confidentialité, demandez à Google et Apple de faire preuve de plus de diligence raisonnable sur la sécurité back-end des applications qu’ils permettent sur leur marché.
Tom Lysemose Hansen, directeur de la technologie chez Promon, société norvégienne de sécurité des applications, a déclaré que les conclusions de Check Point étaient, dans l’ensemble, décevantes, car elles mettaient en évidence des « erreurs de débutant » dans la communauté des développeurs.
« Bien qu’il soit injuste de s’attendre à ce que quelqu’un ne commet jamais d’erreur, il ne s’agit pas seulement d’une erreur. Les données de l’application doivent toujours être protégées. C’est aussi simple que ça. Pas obscurci ou caché, mais protégé », at-il dit.
« L’accès aux messages des utilisateurs est déjà assez mauvais, mais ce n’est pas le pire. Si un attaquant trouve un moyen d’accéder aux clés API, par exemple, il peut facilement les extraire et créer de fausses applications qui usurpent l’identité des vraies pour effectuer des appels API arbitraires, ou accéder autrement à l’infrastructure back-end d’une application pour gratter des informations à partir de serveurs.
« Ces types d’attaques peuvent entraîner de graves atteintes à la protection des données et, en dehors des amendes qui y sont associées, peuvent avoir des effets néfastes sur la réputation de la marque », a ajouté Hansen.
Trevor Morgan, chef de produit chez comforte AG, a déclaré que l’augmentation de la surface d’attaque permise par les environnements cloud a rendu la sécurité plus difficile pour les entreprises qui comptent sur eux.
« Grâce à une stratégie hybride et multicloud, les données sont dispersées sur plusieurs nuages ainsi que sur leurs propres centres de données. La sécurité des données devient encore plus difficile à gérer à mesure que la complexité de l’infrastructure cloud augmente », a-t-il déclaré.
« Combiné avec une culture moderne DevOps, les erreurs de configuration et les exigences générales de sécurité qui sont négligés ou totalement ignorés deviennent monnaie courante, at-il dit.
« Combiné avec une culture moderne DevOps, des erreurs de configuration et des exigences générales de sécurité qui sont négligés ou plat-out ignorés deviennent monnaie courante »
Trevor Morgan, réconfort AG
Étant donné que des données potentiellement sensibles sont nécessaires pour que de nombreuses applications fonctionnent correctement – en particulier celles qui génèrent des revenus – la protection des données doit être une partie importante du processus de développement et du cadre global de protection, a déclaré M. Morgan.
Il a conseillé aux développeurs d’adopter des pratiques de sécurité centrées sur les données pour protéger les données même si d’autres couches de sécurité échouent ou sont contournées, et a déclaré que ceux qui utilisent des technologies telles que la tokenisation et le cryptage de conservation du format étaient bien mieux en mesure de s’assurer qu’un incident tel qu’un service cloud mal configuré ne se transforme pas nécessairement en une violation complète des données.
Mais Chenxi Wang, associé général chez rain Capital, spécialiste des investissements en sécurité et ancien vice-président de la recherche chez Forrester, a déclaré que le blâme ne devrait pas tomber entièrement sur les développeurs d’applications.
« Les développeurs ne savent pas toujours ce qu’il faut faire en matière de sécurité. Les plateformes d’applications comme Google Play et Apple Appstore doivent fournir des tests plus approfondis, ainsi que d’encourager le bon comportement des développeurs pour renforcer la sécurité dès le début », a déclaré Wang.
« Cette découverte souligne l’importance des tests et de la vérification des applications axés sur la sécurité », a-t-elle ajouté.
Technologie3 ans ago
Monde3 ans ago
Monde2 ans ago
Monde3 ans ago
Monde3 ans ago
France3 ans ago
France3 ans ago
France2 ans ago