crédit photo © Creativa Images - shutterstock
A l’approche de la Saint Valentin, les chercheurs d’IBM se sont penchés sur l’intégrité des applications Android dédiées aux rencontres. Et le résultat est pour le moins inquiétant. Pas moins de 26 applications sur les 41 étudiées (soit plus de 63%) comportent des vulnérabilités de sécurité jugées « moyennes ou élevées » qui exposent leurs utilisateurs à des vols de données personnelles mais aussi celle de l’entreprise qui les emploie.
Les applications compromises permettent ainsi d’accéder aux données GPS du smartphone (permettant ainsi de pister les habitudes de l’utilisateur) pour 73% d’entre elles, aux informations de paiement (pour la moitié des analyses) avec la possibilité d’effectuer des transactions à la barbe du propriétaire du terminal mobile, ou encore aux caméra et micro de l’appareil (même quand l’application n’est pas activée) pour espionner l’utilisateur et son entourage.
Certaines vulnérabilités permettent ainsi des attaques de type homme du milieu (man in the middle) et de cross site scripting (CSS). Certaines applications peuvent ainsi être exploitées par un attaquant pour envoyer une notification de mise à jour dont le téléchargement s’avérera probablement être un malware.
Une situation qui met également en danger les réseaux des entreprises. IBM rapporte ainsi que près de la moitié des entreprises de son échantillon avait au moins une de ces applications de rencontre vulnérables installé sur un terminal appartenant à l’organisation ou à son employé dans le cadre d’une politique de BYOD (Bring Your Own Device). L’exploitation des failles pourraient ainsi permettre potentiellement aux cyber-criminel de voler des données propres à l’entreprise, voire d’y glisser des malwares sur le réseau.
Pour se prévenir de ces attaques potentielles, si elles n’ont pas déjà eu lieu, IBM recommande alors d’appliquer les habituelles politique de sécurité à travers des outils de gestion des mobiles (MDM), interdire le téléchargement d’applications depuis des stores autres que l’officiel Google Play, éduquer les utilisateurs et, évidemment, bloquer tout appareil compromis pour l’empêcher de se connecter au réseau.
IBM se garde de citer les applications de rencontres vulnérables et déclare avoir prévenu les éditeurs des failles. L’étude remontant à octobre dernier, on peut penser que ces derniers ont fait ce qu’il fallait pour colmater les brèches. Mais dans le doute, leur utilisation pourrait coûter plus cher qu’une simple addition de restaurant à ses utilisateurs qui se comptent aujourd’hui en millions de personnes.
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.