Des chercheurs détectent 24 000 applications Android qui font fuiter les données des utilisateurs

Des chercheurs de Comparitech dirigés par l’expert en cybersécurité Bob Diachenko ont révélé que 24 000 applications Android exposent les informations des utilisateurs, via des erreurs de configuration sur Google Firebase, une plateforme de développement populaire utilisée par environ 30% des applications du Google Play Store.
 
Dans son analyse, l’équipe a examiné 515 735 applications Android (18% de toutes les applications sur Google Play) et en a trouvé 155 066 à l’aide des bases de données Firebase hébergées sur le cloud de Google. Parmi les applications sélectionnées, 4 282 divulguaient des informations sensibles telles que :

• 7 millions d’adresses email
• 4,4 millions de noms d’utilisateurs
• 1 million de mots de passe
• 5,3 millions de numéros de téléphone
• 18,3 millions de noms complets
• 6,8 millions messages de discussion
• 6,2 millions données GPS
• 156 000 adresses IP d’utilisateurs
• 500 000 adresses postales
• Un nombre non divulgué de numéros de cartes de crédit et de cartes nationales d’identité
 
En ce qui concerne les configurations et la catégorie d’applications Firebase vulnérables, les applications de jeux se classent au premier rang avec 24,71%, suivis par les applications éducatives avec 14,72%, le divertissement avec 6,02%, les affaires avec 5,28% et les voyages avec 4,31%.
 
Les chercheurs ont également découvert que 9 014 applications «incluaient même des autorisations d’écriture, qui permettraient à un pirate d’ajouter, de modifier ou de supprimer des données sur le serveur, en plus de les visualiser et de les télécharger». Les cybercriminels qui ont également un accès en écriture peuvent injecter de fausses données dans une application, hameçonner ou escroquer des utilisateurs et, finalement, propager des logiciels malveillants.
 
Le risque d’exposition pour tout utilisateur de smartphone Android est assez élevé, étant donné que les applications vulnérables ont été installées plus de 4 milliards de fois.

“Étant donné que l’utilisateur moyen d’un smartphone a entre 60 et 90 applications installées, la probabilité est élevée pour que la confidentialité d’un utilisateur Android soit compromise par au moins une application”, ont déclaré les chercheurs.

Les chercheurs ont informé Google le 22 avril et ont fourni un rapport complet de leurs conclusions. La société a déclaré qu’elle tendait la main aux développeurs, avec des conseils pour résoudre les erreurs de configuration potentielles.
 
Que peut faire un utilisateur d’Android ? Comparitech suggère de suivre les règles de base de l’hygiène numérique:

• Arrêtez de recycler vos mots de passe sur plusieurs comptes
• Utilisez uniquement des applications Google Play de confiance ayant de bonnes critiques et de nombreux téléchargements
• Lisez la politique de confidentialité de l’application pour vérifier les informations que vous partagez avec le développeur
• Ne partagez aucune information sensible