Prague, République tchèque, le 10 septembre 2021 – Avast (LSE:AVST), un leader mondial en matière de sécurité numérique et de confidentialité, a découvert que plus de 19 300 applications Android exposaient publiquement des données d’utilisateurs à cause d’une mauvaise configuration de la base de données Firebase, un logiciel utilisé par les développeurs Android pour stocker ces données. Cette faille affecte une large gamme d’applications diverses, allant du lifestyle, de l’entraînement sportif et des jeux vidéo aux emails ou encore à la livraison de nourriture dans des régions du monde entier, y compris en Europe, en Asie du Sud-Est et en Amérique latine.
Les données exposées peuvent inclure des informations d’identification (Personally Identifiable Information - PII) collectées par les applications, telles que des noms, des adresses, des données de localisation et, dans certains cas, des mots de passe. Avast a informé Google de ses découvertes afin qu’il puisse informer les développeurs d’applications de la nécessité de prendre des mesures correctives.
Les développeurs peuvent utiliser Firebase pour faciliter le développement mobile et web d’applications Android, et ils peuvent choisir de garder leur programmation Firebase visible des autres développeurs et donc, techniquement, aussi visible par le public. Lorsque les chercheurs du Laboratoire de menace d’Avast ont examiné 180 300 programmations Firebase publiquement accessibles, ils ont constaté que plus de 10% (19 300) étaient ouvertes, exposant les données à des développeurs non authentifiés.
Ces brèches provenaient d’une mauvaise configuration des développeurs d’applications et ont exposé les données stockées et utilisées à des risques de vol. Les données que ces applications conservent peuvent inclure une variété d’informations telles que des noms, des dates de naissance, des adresses, des numéros de téléphone, des informations de localisation, des jetons d’authentification et clés. Lorsque les développeurs adoptent de mauvaises pratiques de sécurité, les enregistrements peuvent même contenir des mots de passe en texte brut.
« Chacune de ces brèches est une porte en attente d’être ouverte et peut entraîner des risques commerciaux, juridiques et réglementaires critiques si cela se produisait. Potentiellement, les informations personnelles de plus de 10% des utilisateurs d’applications basées sur Firebase pourraient être vulnérables » explique Vladimir Martyanov, chercheur de malwares chez Avast. « Aujourd’hui, n’importe quelle entreprise dispose d’applications : les magasins, les salles de sport, les services postaux, ou même les applications environnementales et de dons, conçues pour plus de praticité et partant d’une bonne intention. Les entreprises devraient davantage mettre l’accent sur un développement responsable de leurs applications, en faisant de la sécurité et de la protection des données personnelles un élément clé de tout le processus de développement de leurs applications, et pas seulement un « verrou » supplémentaire. »
Avast recommande aux développeurs de rester informés des risques d’une mauvaise configuration de leurs bases de données et de suivre les bonnes pratiques fournies par Google.
« Nous demandons urgemment à tous les développeurs de vérifier leurs bases de données et autres supports de stockage afin de détecter des possibles erreurs de configuration pour protéger les données des utilisateurs et rendre notre monde numérique plus sûr » conclut Vladimir Martyanov.
Pour plus d’informations, veuillez lire le blogpost complet et les recherches sur Avast Decoded.