Des centaines d'apps iOS mal configurées avec Firebase font fuiter des données

Mickaël Bazoge |

Des centaines d’applications iOS et Android ont des problèmes de fuite de données. Ces apps utilisent Firebase, une « boîte à services » proposée par Google, qui contient toutes sortes d’outils (analyses statistiques, messagerie, rapport de crash, système de notifications, bases de données…). Particulièrement populaires chez les développeurs d’apps et de webapps, ces outils doivent toutefois être bien configurés pour éviter les fuites de données.

En janvier, les chercheurs d'Appthority ont scruté les applications mobiles exploitant Firebase afin de stocker les données de leurs utilisateurs. Sur les 2,7 millions d’apps Android et iOS passées par ce tamis, ils en ont identifié 28 502 se connectant et stockant des données dans des backends Firebase. Sur ce volume, 3 046 sauvegardent des données au sein de bases de données Firebase mal configurées (il est possible d’accéder à leurs données via des URL schème JSON) ; la majorité (2 446) sont des apps Android, mais 600 sont des applications iOS.

Les quelques 100 millions d’enregistrements de données d’utilisateurs de ces applications représentent 113 Go répartis dans 2 271 bases de données : 2,6 millions d’identifiants et de mots de passe en clair, 4 millions de données liées à la santé (comme des détails de prescription), 25 millions de données GPS, 50 000 informations bancaires (règlements, transactions bitcoin…), 4,5 millions de jetons d’identification à des réseaux sociaux.

Plusieurs de ces applications sont particulièrement populaires : les apps Android « fuiteuses » ont ainsi été téléchargées à plus de 620 millions de copies sur le Play Store de Google… Appthority a prévenu le moteur de recherche avant de publier son rapport, fournissant à l’entreprise une liste des apps touchées et de leurs serveurs Firebase.

Tags
avatar jacques_dh | 

Et la liste, c’est pour plus tard ? Ce serait assez intéressant, quand même...

avatar RedMak | 

« Ces apps utilisent Firebase, une ‘boîte à services’ conçue par Google » enfaite google l’a acheter il 3/4 ans (comme Parse.com acheté par facebook puis fermé🤬)

avatar Mickaël Bazoge | 
Ah mais oui, je vais préciser merci.
avatar Oracle | 

Aoutch 😅

avatar poster23 | 

Important de préciser qu'il s'agit uniquement de la brique DataBase (Firebase DB). J'utilise Firebase pour les Analytics sur mon app et normalement c'est pas impacté :)

avatar Brice21 | 

Une fois encore Android et sécurité ne riment pas ensemble...

avatar MacTHEgenius | 

@Brice21

Il ne s’agit pas d’Android ici, mais de Firebase.

——————

Chaque système d’exploitation à son lot de problèmes de sécurité

avatar quetzal | 

Donc, si je comprends bien, il ne suffit pas qu’une application soit sur iOS pour que nos données soient en sécurité ? Une illusion de plus sur le monde Apple qui tombe ?

avatar quetzal | 

Désolé pour le double envoi du à une mauvaise connexion. Malheureusement l’app ne permets pas de supprimer un commentaire, seulement de le modifier, ce que je fais ici.

CONNEXION UTILISATEUR