crédit photo © Creativa Images - shutterstock
A l’approche de la Saint Valentin, les chercheurs d’IBM se sont penchés sur l’intégrité des applications Android dédiées aux rencontres. Et le résultat est pour le moins inquiétant. Pas moins de 26 applications sur les 41 étudiées (soit plus de 63%) comportent des vulnérabilités de sécurité jugées « moyennes ou élevées » qui exposent leurs utilisateurs à des vols de données personnelles mais aussi celle de l’entreprise qui les emploie.
Les applications compromises permettent ainsi d’accéder aux données GPS du smartphone (permettant ainsi de pister les habitudes de l’utilisateur) pour 73% d’entre elles, aux informations de paiement (pour la moitié des analyses) avec la possibilité d’effectuer des transactions à la barbe du propriétaire du terminal mobile, ou encore aux caméra et micro de l’appareil (même quand l’application n’est pas activée) pour espionner l’utilisateur et son entourage.
Certaines vulnérabilités permettent ainsi des attaques de type homme du milieu (man in the middle) et de cross site scripting (CSS). Certaines applications peuvent ainsi être exploitées par un attaquant pour envoyer une notification de mise à jour dont le téléchargement s’avérera probablement être un malware.
Une situation qui met également en danger les réseaux des entreprises. IBM rapporte ainsi que près de la moitié des entreprises de son échantillon avait au moins une de ces applications de rencontre vulnérables installé sur un terminal appartenant à l’organisation ou à son employé dans le cadre d’une politique de BYOD (Bring Your Own Device). L’exploitation des failles pourraient ainsi permettre potentiellement aux cyber-criminel de voler des données propres à l’entreprise, voire d’y glisser des malwares sur le réseau.
Pour se prévenir de ces attaques potentielles, si elles n’ont pas déjà eu lieu, IBM recommande alors d’appliquer les habituelles politique de sécurité à travers des outils de gestion des mobiles (MDM), interdire le téléchargement d’applications depuis des stores autres que l’officiel Google Play, éduquer les utilisateurs et, évidemment, bloquer tout appareil compromis pour l’empêcher de se connecter au réseau.
IBM se garde de citer les applications de rencontres vulnérables et déclare avoir prévenu les éditeurs des failles. L’étude remontant à octobre dernier, on peut penser que ces derniers ont fait ce qu’il fallait pour colmater les brèches. Mais dans le doute, leur utilisation pourrait coûter plus cher qu’une simple addition de restaurant à ses utilisateurs qui se comptent aujourd’hui en millions de personnes.
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…