Des centaines d'apps iOS mal configurées avec Firebase font fuiter des données
Des centaines d’applications iOS et Android ont des problèmes de fuite de données. Ces apps utilisent Firebase, une « boîte à services » proposée par Google, qui contient toutes sortes d’outils (analyses statistiques, messagerie, rapport de crash, système de notifications, bases de données…). Particulièrement populaires chez les développeurs d’apps et de webapps, ces outils doivent toutefois être bien configurés pour éviter les fuites de données.
En janvier, les chercheurs d'Appthority ont scruté les applications mobiles exploitant Firebase afin de stocker les données de leurs utilisateurs. Sur les 2,7 millions d’apps Android et iOS passées par ce tamis, ils en ont identifié 28 502 se connectant et stockant des données dans des backends Firebase. Sur ce volume, 3 046 sauvegardent des données au sein de bases de données Firebase mal configurées (il est possible d’accéder à leurs données via des URL schème JSON) ; la majorité (2 446) sont des apps Android, mais 600 sont des applications iOS.

Les quelques 100 millions d’enregistrements de données d’utilisateurs de ces applications représentent 113 Go répartis dans 2 271 bases de données : 2,6 millions d’identifiants et de mots de passe en clair, 4 millions de données liées à la santé (comme des détails de prescription), 25 millions de données GPS, 50 000 informations bancaires (règlements, transactions bitcoin…), 4,5 millions de jetons d’identification à des réseaux sociaux.
Plusieurs de ces applications sont particulièrement populaires : les apps Android « fuiteuses » ont ainsi été téléchargées à plus de 620 millions de copies sur le Play Store de Google… Appthority a prévenu le moteur de recherche avant de publier son rapport, fournissant à l’entreprise une liste des apps touchées et de leurs serveurs Firebase.
Et la liste, c’est pour plus tard ? Ce serait assez intéressant, quand même...
« Ces apps utilisent Firebase, une ‘boîte à services’ conçue par Google » enfaite google l’a acheter il 3/4 ans (comme Parse.com acheté par facebook puis fermé?)
Aoutch ?
Important de préciser qu'il s'agit uniquement de la brique DataBase (Firebase DB). J'utilise Firebase pour les Analytics sur mon app et normalement c'est pas impacté :)
Une fois encore Android et sécurité ne riment pas ensemble...
@Brice21
Il ne s’agit pas d’Android ici, mais de Firebase.
——————
Chaque système d’exploitation à son lot de problèmes de sécurité
Donc, si je comprends bien, il ne suffit pas qu’une application soit sur iOS pour que nos données soient en sécurité ? Une illusion de plus sur le monde Apple qui tombe ?
Désolé pour le double envoi du à une mauvaise connexion. Malheureusement l’app ne permets pas de supprimer un commentaire, seulement de le modifier, ce que je fais ici.