Le spécialiste de la sécurité Appthority a décidé de mener une enquête sur les applications mobiles qui utilisent Google Firebase, et publié ses résultats dans son Q2 2018 Mobile Threat Report.
Firebase est un ensemble de services d’hébergement en temps réel des bases de données, du contenu, de l’authentification sociale, des notifications, ou encore de communication en temps réel.
Firebase est de plus en plus populaire avec les développeurs, car il les décharge d’un grand nombre de tâches, passant de 3 applications en 2013 à utiliser le service de base de données Firebase DB à 53 000 en 2017.
Malheureusement, comme souvent, ni la sécurité ni l’écriture de code correct ne sont une priorité des jeunes pousses.
Sur les six premiers mois de l’année, Appthority a analysé 2 705 987 applications, trouvé 27 227 applications mobiles exploitant Firebase DB dans les magasins Google Play et 1 275 dans l’Apple App Store.
9 % des applications Android se connectant à une base de données Firebase sont vulnérables, et 47 % des applications iOS sont vulnérables.
Par vulnérable, on entend une exposition partielle ou complète des données, en général à cause de l’absence de protection ou de demande d’authentification.
D’après Appthority, 62 % des entreprises dans le monde utilisent au moins l’une de ces applications, qui touche des entreprises de nombreux pays : États-Unis, Union européenne, Argentine, Brésil, Singapour, Taïwan, Nouvelle Zélande, Inde et Chine.
Au total, plus de 100 millions d’entrées confidentielles de bases de données ont été exposées, d’une taille de 113 gigaoctets.
Quelques exemples des types de données exposées:
- 2,6 millions de mots de passe en clair, et d’identifiants utilisateur ;
- Plus de 4 millions d’enregistrements d’informations protégées de santé ;
- 25 millions de localisations GPS ;
- 50 000 entrées financières : banque, paiements, transactions bitcoins, etc. ;
- Plus de 4,5 millions de jetons de sécurité pour Facebook, LinkedIn, Firebase et des bases de données d’entreprises.
Certaines des données étaient hautement confidentielles et régulées par diverses autorités de tutelles : informations médicales, données personnelles sensibles protégées par le RGPD, plaques d’immatriculations protégées par les lois des États, numéros de carte de crédit protégées par PCI DSS.
Parmi les informations d’entreprises, Appthority a découvert des certificats d’entreprises et des accréditations donnant accès à leurs réseaux internes, des conversations professionnelles privées, et des informations sur les ventes.
Avant de publier ce rapport alarmant, Appthority a contacté Google et fourni une liste des applications vulnérables.
Comme il ne s’agit pas d’une vulnérabilité logicielle, Google ne peut pas développer un correctif. Elle doit prévenir les développeurs fautifs, mais n’a pas prévu de levier de pression pour exiger des corrections. Idéalement, Google supprimerait les API qui permettent de se connecter à une base de données Firebase sans authentification.
Quand aux entreprises, il leur est conseillé de tester la sécurité de toutes les applications mobiles qui sont mises à disposition sur leur magasin d’application privé.
Le problème devient encore plus compliqué pour celles qui pratiquent le BYOD – apportez vos propres appareils, puisqu’elles ne peuvent contrôler quelles applications ont été installées en privé.