L’App Store d’Apple est considéré comme la référence en matière de sécurité, mais les chercheurs de Cybernews ont analysé 156 080 applications iOS sélectionnées au hasard – environ 8 % des applications présentes sur l’App Store – et ont découvert un oubli massif : 71 % d’entre elles exposent des données sensibles, notamment des clés API, des informations d’identification de stockage en nuage et des informations financières.

La sécurité des applications iOS reste sous-étudiée, et il s’agit de la première recherche de ce type à grande échelle.

Principales conclusions de cette recherche :

• Plus de 816 000 secrets ont été trouvés, avec une moyenne de 5,23 secrets exposés par application.
• Sur les 94 240 instances de seau de stockage codées en dur dans les applications iOS (certaines applications contenant plusieurs points de terminaison de seau de stockage), 836 de ces points de terminaison (0,89 %) étaient accessibles sans authentification, exposant 406 To de fichiers utilisateur, de données personnelles et de documents.
• 2 218 instances Firebase (4,34 %) avaient une authentification mal configurée, divulguant 19,8 millions d’enregistrements (33 Go de données), y compris des jetons de session utilisateur et des analyses backend, la quasi-totalité de ces instances étant hébergées aux États-Unis.
• Plus de 51 000 applications utilisent à mauvais escient la base de données Firebase de Google, ce qui rend les données des utilisateurs vulnérables au vol facile.

Pourquoi c’est important :

• Pour les équipes de cybersécurité : les secrets codés en dur introduisent un vecteur d’attaque majeur, permettant aux acteurs malveillants de se déplacer latéralement sur les réseaux, de compromettre les services cloud et d’exfiltrer des données avec un minimum d’effort.
• Pour les développeurs : De nombreux développeurs s’appuient sur des informations d’identification codées en dur sans se rendre compte des risques. Les pratiques de codage sécurisées, l’analyse automatisée des secrets et la gestion des variables d’environnement doivent être priorisées pour éviter toute exposition.

Même les applications les plus médiatisées peuvent divulguer des données sensibles sans que les développeurs ou les entreprises ne s’en rendent compte – et il est clair qu’Apple a un angle mort à ce sujet.

Aras Nazarovas, chercheur en sécurité chez Cybernews, met en garde : « Bien que les applications iOS soient perçues comme sécurisées, de nombreux développeurs laissent encore exposées les principales vulnérabilités, comme les informations d’identification codées en dur. Cela crée un point d’entrée facile à exploiter pour les attaquants, même sans compétences avancées. Avec Apple retirant Advanced Data Protection pour les utilisateurs britanniques, l’absence de cryptage fort aggrave le problème, augmentant le risque de violations de données, d’accès non autorisés et de retombées de sécurité à long terme. La sécurité des applications iOS reste sous-étudiée, et il s’agit de la première recherche de ce type et de cette ampleur. La recherche a été menée entre juillet 2024 et janvier 2025 ».

Méthodologie

Les chercheurs ont analysé les versions d’applications iOS disponibles du 2 au 16 octobre 2024 à l’aide de techniques OSINT et de rétro-ingénierie. Sans dé-obfuscation ni décompilation, les chercheurs ont trouvé un grand nombre de secrets en texte brut stockés dans les archives de l’API. Ils ont également examiné les points de terminaison Cloud Bucket et Firebase pour détecter les lacunes en matière d’authentification. La recherche a été menée entre juillet 2024 et janvier 2025.

Veuillez trouver l’intégralité de l’article de recherche Cybernews ici.