Ces trois applis photo Android ont exposé les données de plus de 150 000 utilisateurs

Certaines applications Android peuvent mettre en danger les données personnelles sans que vous le sachiez. C’est ce qui est arrivé à des milliers d’utilisateurs d’applis photo pourtant très populaires. Une simple erreur de configuration a suffi pour exposer des informations sensibles sur internet.

Ces dernières semaines, plusieurs fuites massives ont rappelé à quel point nos données restent vulnérables. Une base contenant plus de 149 millions de mots de passe, dont des accès à Gmail, Facebook ou Instagram, a récemment été découverte librement accessible sur internet. Dans un autre cas, 45 millions de dossiers concernant des citoyens français ont été exposés en ligne, issus de sources variées comme des assurances, des registres médicaux ou des fichiers électoraux. Ces fuites ne sont pas toujours dues à des attaques complexes, une simple négligence suffit parfois à créer un risque majeur pour la vie privée.

C’est exactement ce qu’ont mis en évidence les chercheurs en cybersécurité de Cybernews. Trois applications Android spécialisées dans la reconnaissance d’objets à partir de photos ont été prises en flagrant délit de mauvaise configuration. Leur base de données Firebase était ouverte sans aucune restriction, permettant l’accès à des informations sensibles. Parmi les données compromises figurent des adresses e-mail, des noms d’utilisateur, des photos de profil, des coordonnées GPS et des jetons de notification.

Trois applis Android exposent les données de plus de 150 000 utilisateurs

Trois applications photo disponibles sur le Play Store ont exposé les données personnelles de plus de 150 000 utilisateurs, malgré leur apparente popularité :

• Dog Breed Identifier Photo Cam : 500 000 téléchargements, 66 182 utilisateurs touchés
• Spider Identifier App by Photo : 500 000 téléchargements, 40 779 utilisateurs touchés
• Insect Identifier by Photo Cam : 1 million de téléchargements, 45 005 utilisateurs touchés

Certaines fonctions optionnelles semblent être à l’origine de la fuite, ce qui expliquerait pourquoi tous les utilisateurs ne sont pas concernés. Mais le niveau de détail des données exposées rend cette faille particulièrement préoccupante. Les informations GPS peuvent révéler les habitudes quotidiennes, les lieux de travail ou de résidence. Des pirates ont déjà repéré les bases ouvertes. Une signature laissée par un bot automatique, souvent utilisée pour scanner le web à la recherche de failles exploitables, en apporte la preuve.

Les développeurs des trois applications n’ont pas répondu aux alertes, malgré plusieurs tentatives de contact. Ce silence prolonge l’exposition des utilisateurs, alors même que les données sont déjà entre les mains d’acteurs malveillants.