En résumé:
- PCWorld rapporte que plus d’un million d’applications Android ont exposé 700 To de données utilisateur sensibles via des clés API codées en dur et des failles de sécurité.
- Les recherches ont révélé que 72 % des applications d’IA contenaient des « secrets » dangereux dans leur code, dont 81 % étaient liées à des projets Google Cloud permettant un accès non autorisé à des tiers.
- Les utilisateurs doivent faire preuve d’une extrême prudence lors de l’installation de nouvelles applications, en particulier des applications d’IA qui demandent des informations financières ou personnelles sensibles.
Fin janvier, des chercheurs en sécurité de Cybernews ont publié une étude sur les applications d’IA dans le Google Play Store. L’étude a révélé que de nombreuses applications d’IA n’avaient pas une sécurité adéquate, ce qui les a amenées à divulguer par inadvertance des données des serveurs cloud de Google.
Le résultat ? Un total énorme de 730 millions de To de données dénoncées, en partie par le biais d’attaques ciblées. La fuite comprend des données financières sensibles qui pourraient permettre aux pirates informatiques de vider les portefeuilles numériques.
Comment est-ce arrivé ?
Selon le rapport, la plupart des applications d’IA du Google Play Store utilisent une technique de cryptage non sécurisée appelée « codage en dur », ce qui signifie que les informations sensibles (telles que les clés API et les mots de passe) sont stockées directement dans le code source de l’application. Apparemment, 72 % des applications analysées contenaient au moins un « secret » codé en dur dans leur code.
Pendant ce temps, 81 % des secrets découverts étaient liés aux projets Google Cloud et permettaient à des tiers d’accéder aux services Google. Certains d’entre eux pourraient être exploités via des attaques automatisées.
Il s’agit d’un problème répandu qui affecte principalement les applications les plus récentes qui suivent les tendances actuelles. Ces applications se retrouvent dans le Google Play Store sans que les développeurs aient eu la possibilité d’intégrer des mécanismes de sécurité adéquats. La raison principale en est la pression du temps, car les applications dans le domaine de l’IA sont développées rapidement et mises sur le marché en toute hâte afin de suivre la concurrence.
Mais en dehors de cela, une grande quantité de données appartenant aux clients de Facebook a également été divulguée. Au total, l’équipe de recherche de Cybernews a examiné 1,8 million d’applications Android du Google Play Store.
Quel est le risque pour les utilisateurs ?
Ces fuites de données présentent un risque particulier lorsqu’elles sont liées à des services qui traitent des données financières, analytiques ou client. Les clés API peuvent être utilisées, par exemple, pour agir au nom des utilisateurs, manipuler des comptes ou falsifier les historiques de transactions.
Vous n’avez pas à craindre que vos conversations avec des LLM comme ChatGPT aient été divulguées. Les API de ces services bien connus n’ont en grande partie pas été affectées, car elles n’ont pas été créées avec du codage en dur.
Mais il faut savoir que la sécurité de la plupart de ces applications n’a pas été améliorée. même après la détection de fuites. Pour beaucoup, les points d’accès aux attaques restent en place.
Voici ce que cela signifie pour vous : Soyez toujours prudent lorsque vous installez de nouvelles applications à partir du Google Play Store, surtout si elles vous obligent à divulguer des données sensibles vous concernant. Vous ne pouvez jamais savoir dans quelle mesure les développeurs ont sécurisé leur propre code.
À la fin du rapport, les chercheurs précisent également que ce ne sont pas seulement les applications Android qui sont concernées par ce problème. Les applications de l’App Store iOS présentent également la même tendance dangereuse : les secrets sont codés en dur dans les applications. Cependant, la taille de l’échantillon était ici nettement plus petite, avec seulement 156 000 applications iOS examinées (dont environ 70 % contenaient également au moins un secret codé en dur).
