Une étude d’IBM révèle que 63% des applications Android de rencontre en ligne comportent des vulnérabilités de sécurité qui exposent les données des utilisateurs au vol.
C’est à l’occasion de la Saint-Valentin que des chercheurs d’IBM ont réalisé une étude sur la sécurité des applications Android de rencontre en ligne. Le verdict est que 26 des 41 applications étudiées, soit 63%, comportent des vulnérabilités de sécurité qui exposent les données des utilisateurs au vol.
Les vulnérabilités découvertes sont qualifiées de « moyennes ou élevées ». Elles permettent par exemple d’accéder aux données GPS du smartphone pour pister les habitudes de l’utilisateur, d’accéder aux informations de paiement, d’accéder aux caméras et micros de l’appareil pour espionner l’utilisateur et son entourage même lorsque l’application n’est pas activée.
Intel remarque aussi que certaines vulnérabilités permettent des attaques de type man in the middle et de cross site scripting, ou être exploitées par un attaquant pour envoyer une notification de mise à jour pour télécharger un malware.
Vu que près de la moitié des entreprises de son échantillon avait au moins un appareil d’entreprise qui avait une telle application installée, ces applications de rencontre en ligne peuvent également servir à compromettre la sécurité des entreprises. Par effet de cascade, l’exploitation des failles de l’application pourrait conduire à une cyberattaque contre la société.
Alors qu’IBM se garde bien de citer les applications de rencontres vulnérables, précisant avoir averti les éditeurs de l’existence des failles, il recommande aux entreprises de se prévenir de cette menace en appliquant les habituelles politiques de sécurité au travers d’outils de gestion des mobiles (MDM), d’interdire le téléchargement d’applications depuis des stores autres que l’officiel Google Play, d’éduquer les utilisateurs et bien évidemment de bloquer les appareils éventuellement compromis.