Le commentaire d’Aras Nazarovas, chercheur en sécurité chez Cybernews.

L’article souligne comment des applications telles que 7 Minute Chi (méditation) et Robo Spam Text & Call Blocker, destinées à protéger les utilisateurs, ont plutôt divulgué des données sensibles, mettant en danger la vie privée et la sécurité des utilisateurs.

Aras, en tant que chercheur principal à l’origine de la recherche sur les applications iOS, explique l’ironie et l’impact réel de ces violations, explique pourquoi les mesures de protection actuelles de l’App Store ne sont pas suffisantes et propose des étapes claires pour la réforme de l’industrie.

Par Aras Nazarovas.

Les applications conçues pour protéger notre tranquillité d’esprit deviennent de plus en plus des sources d’anxiété. Prenez 7 Minute Chi – Meditate & Move, une application de méditation commercialisée pour réduire le stress, et Robo Spam Text & Call Blocker, un outil iOS destiné à protéger les utilisateurs contre les appels automatisés et le phishing. Les deux promettaient la sécurité, l’une pour le bien-être mental, l’autre pour la sécurité numérique. Au lieu de cela, ils ont exposé les données sensibles des utilisateurs par le biais de failles de sécurité, révélant une vérité inquiétante : les applications auxquelles nous faisons confiance pour protéger notre vie privée sont souvent les maillons les plus faibles de notre vie numérique.

L’ironie des espaces sûrs qui fuient

La violation de 7 Minute Chi a mis à nu les données personnelles de plus de 100 000 utilisateurs (noms, e-mails et secrets d’applications tels que les clés API et les identifiants Facebook) en raison d’une base de données Firebase mal configurée. C’est une trahison. Les utilisateurs cherchaient à se calmer et à se concentrer, mais leurs données ont été utilisées à des fins d’hameçonnage ou d’usurpation d’identité.

De plus, Robo Spam Text & Call Blocker, téléchargé 93 000 fois, divulgué 339 000 numéros de spam signalés, des tickets d’assistance à la clientèle avec de vrais noms et e-mails, et des secrets d’applications critiques. Les criminels savent désormais quels numéros les utilisateurs bloquent et quels mots-clés éviter, ce qui leur permet de créer des escroqueries qui échappent aux filtres.

Ces fuites ne sont pas des accidents, mais des symptômes de négligence systémique. Les erreurs de configuration de Firebase, qui rendent les bases de données accessibles au public, et les secrets codés en dur intégrés dans le code de l’application sont étonnamment courants. Nos recherches montrent que 71 % des 156 080 applications iOS échantillonnées divulguent au moins un secret, avec une moyenne de 5,2 par application. Lorsque les développeurs prennent des raccourcis, les applications conçues pour protéger deviennent des outils d’exploitation.

Le coût humain des promesses non tenues

Pour les utilisateurs, les retombées sont profondément personnelles. Imaginez que vous receviez un e-mail d’hameçonnage qui fait référence à vos habitudes de méditation, peut-être même en mentionnant l’application spécifique que vous utilisez ou les routines que vous suivez – des détails que vous pensiez privés.

Ou imaginez répondre à un appel indésirable qui non seulement passe votre bloqueur de confiance, mais utilise un langage et des tactiques adaptés à vos préférences signalées et aux mots-clés bloqués, ce qui rend l’escroquerie beaucoup plus convaincante.

Dans les deux cas, le sentiment de violation est profond : les informations que vous avez partagées dans la poursuite du calme ou de la sécurité sont maintenant utilisées pour vous cibler et vous manipuler, transformant des espaces numériques de confiance en sources de nouvelles angoisses.

Un échec de la reddition de comptes

Ni les avis sur l’App Store d’Apple ni la diligence raisonnable des développeurs n’ont empêché ces violations. L’instance Firebase de 7 Minute Chi est restée exposée pendant des semaines, tandis que la société mère de Robo Spam Text & Call Blocker, Brantley Media Group, a un historique de fuites, y compris une application d’IA qui a exposé les histoires intimes des utilisateurs. Pourtant, l’écosystème d’Apple, souvent perçu comme un « jardin clos », ne dispose pas de mécanismes permettant de rechercher des secrets codés en dur ou d’appliquer des configurations cloud sécurisées.

Quelle est la prochaine étape ?

Pour rétablir la confiance, l’industrie doit donner la priorité à :

• Étendre les avis sur l’App Store pour inclure les contrôles de sécurité du backend : Apple et les autres propriétaires de plates-formes doivent intégrer des analyses automatiques pour détecter les bases de données mal configurées, les informations d’identification codées en dur et d’autres vulnérabilités du backend avant d’approuver les applications.
• Les développeurs doivent respecter des normes de codage sécurisées, effectuer des révisions de code régulières et exploiter des outils de test de sécurité automatisés pour détecter rapidement les vulnérabilités.
• Fournissez des visualisations et des alertes de confidentialité en temps réel : donnez aux utilisateurs des tableaux de bord ou des notifications qui révèlent comment leurs données sont utilisées, et alertez-les immédiatement en cas de fuites potentielles ou d’activités suspectes.
• Offrez une assistance et une transparence après une violation, et informez rapidement les utilisateurs en cas de violation, fournissez des conseils sur les actions de protection, ainsi que des services tels que des analyses de données personnelles pour aider les utilisateurs à se rétablir.
• Mettre à jour et corriger régulièrement les applications

En tant que chercheur principal de ces enquêtes, j’exhorte les utilisateurs à exiger mieux. Modifiez les mots de passe exposés aux violations, limitez les données partagées avec les applications, vérifiez les applications avant de les installer, autant que possible, et faites pression sur les plateformes pour qu’elles appliquent des normes plus strictes. D’ici là, les outils mêmes commercialisés pour nous protéger continueront de nous laisser exposés.

À PROPOS DE L’EXPERT

Aras Nazarovas est chercheur en sécurité de l’information chez Cybernews, une publication en ligne axée sur la recherche. Aras est spécialisé dans la cybersécurité et l’analyse des menaces. Il enquête sur les services en ligne, les campagnes malveillantes et la sécurité matérielle tout en compilant des données sur les menaces de cybersécurité les plus courantes. Aras et l’équipe de recherche de Cybernews ont découvert d’importants problèmes de confidentialité et de sécurité en ligne ayant un impact sur des organisations et des plateformes telles que la NASA, Google Play, l’App Store et PayPal. L’équipe de recherche de Cybernews mène plus de 7 000 enquêtes et publie plus de 600 études par an, aidant les consommateurs et les entreprises à mieux comprendre et à atténuer les risques de sécurité des données.

Recherche Cybernews :

1. Les chercheurs de Cybernews ont analysé 156 080 applications iOS sélectionnées au hasard – environ 8 % des applications présentes sur l’App Store – et ont découvert un énorme oubli : 71 % d’entre elles exposent des données sensibles.
2. Récemment, Bob Dyachenko, chercheur en cybersécurité et propriétaire de SecurityDiscovery.com, et l’équipe de recherche sur la sécurité de Cybernews ont découvert un index Elasticsearch non protégé, qui contenait un large éventail de détails personnels sensibles liés à l’ensemble de la population de Géorgie.
3. L’équipe a analysé le trafic Web du nouveau smartphone Pixel 9 Pro XL et a constaté que le dernier smartphone phare de Google transmet fréquemment des données privées d’utilisateurs au géant de la technologie avant l’installation d’une application.
4. L’équipe a révélé qu’une fuite massive de données chez MC2 Data, une société de vérification des antécédents, affecte un tiers de la population américaine.
5. L’équipe de recherche en sécurité de Cybernews a découvert que les 50 applications Android les plus populaires nécessitent en moyenne 11 autorisations dangereuses.
6. Ils ont révélé que deux créateurs de PDF en ligne ont divulgué des dizaines de milliers de documents d’utilisateurs, notamment des passeports, des permis de conduire, des certificats et d’autres informations personnelles téléchargées par les utilisateurs.
7. Une analyse de Cybernews Research a découvert plus d’un million de secrets publiquement exposés à partir de plus de 58 000 fichiers d’environnement exposé (.env) de sites Web.
8. L’équipe a révélé que l’instance dirigeante du football australien, Football Australia, a divulgué des clés secrètes qui pourraient ouvrir l’accès à 127 ensembles de données, y compris les données personnelles des acheteurs de billets et les contrats et documents des joueurs.
9. L’équipe de recherche de Cybernews, en collaboration avec le chercheur en cybersécurité Bob Dyachenko, a découvert une fuite de données massive contenant des informations provenant de nombreuses violations passées, comprenant 12 téraoctets de données et couvrant plus de 26 milliards d’enregistrements.
10. L’équipe a analysé le site Web de la NASA et a découvert une vulnérabilité de redirection ouverte qui sévit sur le site Web d’astrobiologie de la NASA.
11. L’équipe a enquêté sur 30 000 applications Android et a découvert que plus de la moitié d’entre elles divulguent des secrets qui pourraient avoir d’énormes répercussions sur les développeurs d’applications et leurs clients.