Des applis Android et iOS exposent leurs identifiants cloud et menacent des millions d'utilisateurs : êtes-vous concernés ?

Elles ne sont pas nombreuses, mais elles cumulent à elles seules des millions de téléchargements. Problème : elles divulguent aussi leurs identifiants de cloud, ouvrant la porte à des piratages et des fuites de données en masse.

Une bonne douzaine d’applications disponibles sur le Google Play Store et l’Apple App Store viennent d’être épinglées par Symantec Enterprise Cloud pour vulnérabilité critique. Et pour cause, ces apps, pour certaines téléchargées des millions de fois, présentent une faille d’ampleur : toutes intègrent des identifiants Azure et AWS en clair dans leurs codebases. Un grave problème de sécurité qui expose les infrastructures de ces applis à des piratages de comptes, mais aussi les internautes finaux à des vols de données.

Un accès aux infrastructures qui compromet la sécurité des utilisateurs finaux

Les équipes de recherche de Symantec ont donc découvert que plusieurs applications mobiles codaient en dur leurs identifiants Azure et AWS non chiffrés. Après analyse de la codebase des fautives, il apparaît que les noms d’utilisateur et mots de passe associés sont accessibles en clair. Que faut-il en déduire ? Simplement que toute personne ayant accès au code source et aux fichiers binaires de ces applis peut librement extraire des informations hautement sensibles pour les exploiter à des fins malveillantes.

Le sujet aurait pu rejoindre la longue liste des scandales liés aux milliers d’applis douteuses, volontairement frauduleuses, si elle ne concernait pas des services plébiscités par les internautes. Sur les treize applications mises en cause, deux cumulent plus de trois millions de téléchargements ou d’avis sur les stores Android et iOS, et toutes en comptent au moins plus de 100 000.

Sur le Google Play Store, Pic Stitch cumule plus de 5 millions de téléchargements... soit autant d'internautes possiblement menacés par des fuites de données © Clubic

À titre d’exemple, c’est le cas pour Pic Stitch (plus de cinq millions de téléchargements au compteur sur le Google Play Store) qui intègre en dur ses données d’identification AWS. En utilisant la méthode loadAmazonCredential, elle charge automatiquement un flot d’informations ultra-confidentielles, comprenant le nom du compartiment de production Amazon S3, les clés d’accès en lecture et en écriture, et les clés secrètes. En clair, si un pirate venait à mettre la main dessus, il pourrait sans problème s’introduire dans le compte compris, manipuler des fichiers hébergés et exfiltrer des données utilisateur sensibles.

Autre application dans le pétrin : Crumbl, cumulant 3,9 millions d’avis d’internautes sur l’App Store, et classée cinquième dans la catégorie Alimentation et boisson. Ici, la faille est doublée d’une seconde vulnérabilité, alors que l’appli embarque un point de terminaison WSS (WebSocket Secure). L’endpoint y est codé en dur avec une passerelle API destinée à se connecter directement aux services IoT d’AWS. C’est un poil technique, on vous l’accorde, mais il faut en retenir que l’exposition de ces infos couplée à celles d’identifiants statiques (nom d’utilisateur et mot de passe) pourrait permettre aux cyberattaquants d’intercepter et de manipuler facilement des communications en vue d’accéder à des ressources AWS non autorisées.

Les identifiants d'accès aux infrastructures cloud et les clés d'accès en lecture ou en écriture sont codées en dur dans le code source d'une dizaine d'applications mobiles très populaires © Symantec

Des pratiques de sécurité à consolider

Dans l’équation, il faut bien comprendre que ces vulnérabilités n’ont pas intentionnellement été créées par les éditeurs d’applications compromises. Dans la majorité des cas, les entreprises n’en sont même pas conscientes. Il incombe donc aux développeurs et développeuses des différents projets de suivre de meilleures pratiques en matière de gestions des informations sensibles : utiliser des variables d’environnement, privilégier des outils de gestion des secrets dédiés, chiffrer les données sensibles, faire auditer régulièrement son code et automatiser les analyses de sécurité.

Côté utilisateur final, il n’y a pas grand-chose à faire, hélas. Les seules recommandations que nous pouvons vous donner consistent à surveiller la recrudescence possible des tentatives de phishing, et à surveiller régulièrement les fuites de données éventuelles de vos informations personnelles sur le dark web à l’aide d’outils comme Have I Been Pwned ou similaires, parfois intégrés aux suites antivirus comme Norton 360.

Source : Symantec