Un nouveau scandale de sécurité met en danger les utilisateurs d’un smartphone Android. Une enquête a révélé que trois applications du Play Store collectaient les données de leurs utilisateurs et les exposaient par mégarde sur Internet. Des données personnelles et des coordonnées GPS se sont retrouvées accessibles à n’importe qui… y compris à des pirates.
Une enquête réalisée par Cybernews révèle que trois applications Android, disponibles sur le Google Play Store, ont exposé les données de leurs utilisateurs. Les applications ont été téléchargées plus de 2 millions de fois sur la plateforme. Selon les chercheurs, elles ont exposé les données de plus de 150 000 utilisateurs d’un smartphone Android.
Comme l’explique Cybernews, les trois apps proposent des fonctionnalités d’IA. Elles proposent notamment d’identifier des races de chiens par le biais d’une photo, d’identifier des espèces d’araignées ou encore des insectes. Le rapport ne révèle pas le nom des trois applications. Les apps ont été mises en ligne par le développeur MobilMinds, dont le profil mentionne la société OZI Technologies Private Limited, basée au Pakistan. Cette société revendique plus de 1 000 employés et des activités dans plusieurs pays, y compris aux États-Unis.
À lire aussi : Alerte Play Store – le malware Anatsa a piraté 50 000 smartphones Android, désinstallez vite cette app
Des bases de données mal configurées
Les applications ont commis l’erreur de faire transiter les données de leurs utilisateurs sur des instances Firebase mal sécurisées. Ces bases de données n’étaient pas protégées par un mot de passe. Les développeurs ont laissé la base Firebase en mode accès public. N’importe qui sur Internet pouvait donc s’y connecter sans la moindre entrave. Les règles de sécurité des instances autorisaient la lecture et l’écriture des données. En clair, un tiers pouvait à la fois consulter et modifier les enregistrements.
Parmi les données qui se sont retrouvées exposées sur Internet, on trouve les adresses e-mail, des noms d’utilisateur, des noms complets, des photos de profil et… des coordonnées GPS. La position des smartphones était donc en accès libre sur la toile. Les données de géolocalisation des utilisateurs ont été collectées à partir des métadonnées des photos téléchargées. Il est possible que les apps aient aussi réclamé l’accès à la position des utilisateurs au moment de l’installation. Les « informations de géolocalisation fournies par les applications peuvent révéler le lieu de résidence des utilisateurs ou leurs habitudes de déplacement, ce qui pourrait être exploité par des personnes malveillantes
», explique le rapport de Cybernews.
À lire aussi : 9 millions d’Android compromis – Google démantèle l’un des plus grands réseaux pirates du monde
Des données découvertes par les cybercriminels
Les chercheurs ont identifié plusieurs indices qui laissent penser que des pirates sont parvenus à s’emparer des données exposées par les trois applications. Ils ont en effet remarqué qu’une signature a été laissée par des scripts de scan. Ces scripts sont massivement utilisés par les cybercriminels pour scanner en continu Internet à la recherche d’instances mal configurées. Une fois repérées par les scripts, les instances ont vraisemblablement été siphonnées par les pirates.
Les bases de données ont non seulement été exposées, mais elles ont « aussi probablement été découvertes par des acteurs malveillants avant même que l’équipe de recherche ne les trouve ». En d’autres termes, les données ont déjà été récupérées et compilées avec d’autres informations compromises. La fuite fait planer de lourdes menaces sur les internautes concernés. Contacté à plusieurs reprises par Cybernews, le développeur à l’origine des trois apps n’a pas encore réagi.
Les applications sont toujours disponibles sur le Play Store. On remarque aussi que le développeur propose une kyrielle d’autres apps du même acabit sur la plateforme. Comme toujours, on vous conseillera de ne pas installer n’importe quelle application sur votre smartphone. Évitez les applications de développeurs méconnus et prenez toujours le temps de consulter les commentaires et les avis.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Cybernews