Selon les chercheurs en sécurité de Comparitech, beaucoup de développeurs d’applis Android s’appuient sur la plate-forme de développement Firebase sans toutefois maîtriser les configurations des bases de données sous-jacentes. Après avoir analysé 515 735 applis Android sur Google Play, ils ont identifié 4 282 applis dont les bases de données Firebase étaient en libre accès. Il s’agit principalement d’applications de jeux et d’éducation.
4 milliards d’installations
Cette fuite de données porte sur des millions d’adresses e-mail, de noms d’utilisateur, de mots de passe, de numéros de téléphone, etc. Même des numéros de cartes bancaires sont accessibles par cet intermédiaire. Ces 4 282 applications représentent plus de 4 milliards d’installations, ce qui permet d’apprécier l’étendue du désastre. Et la réalité est sans doute pire. En extrapolant sur l’ensemble du catalogue de Google Play, les chercheurs estiment qu’environ 24 000 applications Android seraient vulnérables de la même manière, soit cinq fois plus.
Les fuites d’informations ne constituent pas le seul risque. Parmi les applications analysées, plus de 9 000 donnaient un accès libre en écriture aux bases de données. Des pirates pourraient donc injecter des données pour, par exemple, diffuser de fausses informations, insérer un malware ou élaborer des attaques de phishing. Alerté par Comparitech, Google a promis qu’il allait contacter les développeurs de toutes ces applications vulnérables. Espérons que les auteurs corrigeront ces erreurs.
Source : Comparitech
