Les apps Android de rencontres: de vraies espionnes selon IBM

Selon IBM, plus de 60% des applications de rencontre en ligne permettent d’espionner leurs utilisateurs à leur insu.

A l’approche de la Saint Valentin, les chercheurs d’IBM se sont penchés sur l’intégrité des applications Android dédiées aux rencontres. Et le résultat est pour le moins inquiétant. Pas moins de 26 applications sur les 41 étudiées (soit plus de 63%) comportent des vulnérabilités de sécurité jugées « moyennes ou élevées » qui exposent leurs utilisateurs à des vols de données personnelles mais aussi celle de l’entreprise qui les emploie.

Les applications compromises permettent ainsi d’accéder aux données GPS du smartphone (permettant ainsi de pister les habitudes de l’utilisateur) pour 73% d’entre elles, aux informations de paiement (pour la moitié des analyses) avec la possibilité d’effectuer des transactions à la barbe du propriétaire du terminal mobile, ou encore aux caméra et micro de l’appareil (même quand l’application n’est pas activée) pour espionner l’utilisateur et son entourage.

La moitié des entreprises concernées

Certaines vulnérabilités permettent ainsi des attaques de type homme du milieu (man in the middle) et de cross site scripting (CSS). Certaines applications peuvent ainsi être exploitées par un attaquant pour envoyer une notification de mise à jour dont le téléchargement s’avérera probablement être un malware.

Une situation qui met également en danger les réseaux des entreprises. IBM rapporte ainsi que près de la moitié des entreprises de son échantillon avait au moins une de ces applications de rencontre vulnérables installé sur un terminal appartenant à l’organisation ou à son employé dans le cadre d’une politique de BYOD (Bring Your Own Device). L’exploitation des failles pourraient ainsi permettre potentiellement aux cyber-criminel de voler des données propres à l’entreprise, voire d’y glisser des malwares sur le réseau.

Bloquer les appareils compromis

Pour se prévenir de ces attaques potentielles, si elles n’ont pas déjà eu lieu, IBM recommande alors d’appliquer les habituelles politique de sécurité à travers des outils de gestion des mobiles (MDM), interdire le téléchargement d’applications depuis des stores autres que l’officiel Google Play, éduquer les utilisateurs et, évidemment, bloquer tout appareil compromis pour l’empêcher de se connecter au réseau.

IBM se garde de citer les applications de rencontres vulnérables et déclare avoir prévenu les éditeurs des failles. L’étude remontant à octobre dernier, on peut penser que ces derniers ont fait ce qu’il fallait pour colmater les brèches. Mais dans le doute, leur utilisation pourrait coûter plus cher qu’une simple addition de restaurant à ses utilisateurs qui se comptent aujourd’hui en millions de personnes.

crédit photo © Creativa Images – shutterstock