Bulletins

Une application Android avec plus de 5 millions de téléchargements a divulgué l'historique de navigation des utilisateurs

bs1.jpg

L'équipe de recherche de Cybernews a découvert qu'une application de navigation pour appareils Android, Web Explorer - Fast Internet, laissait son instance Firebase ouverte, exposant ainsi les données de l'application et des utilisateurs.

Firebase est une plateforme de développement d'applications mobiles qui offre de nombreuses fonctionnalités, notamment l'analyse, l'hébergement et le stockage Cloud en temps réel.

Web Explorer - Fast Internet est une application de navigation qui compte plus de cinq millions de téléchargements sur la boutique Google Play. Elle se targue d'augmenter la vitesse de navigation de 30 % et a reçu une note moyenne de 4,4 sur 5 étoiles de la part des utilisateurs, sur plus de 58 000 avis.

Selon l'équipe, l'instance ouverte de Firebase contenait des données de redirection, présentées par ID utilisateur. Cela comprenait le pays, l'adresse d'origine de la redirection, l'adresse de destination de la redirection et le pays de l'utilisateur.

Si les acteurs de la menace pouvaient désanonymiser les utilisateurs de l'application, ils seraient en mesure de vérifier un tas d'informations sur l'historique de navigation d'un utilisateur spécifique et de les utiliser pour l'extorsion. Un acteur menaçant devrait également chercher à savoir où les développeurs d'applications stockent les données supplémentaires des utilisateurs. Cela dit, le recoupement des données divulguées avec d'autres détails pourrait amplifier les dommages causés aux utilisateurs de l'application.

L'équipe a également découvert que l'application avait codé en dur des informations sensibles du côté client de l'application. Le codage en dur d'informations sensibles, communément appelées "secrets", est considéré comme une mauvaise pratique car les acteurs de la menace pourraient les extraire à des fins malveillantes.

L’équipe a contacté Web Explorer- Fast Internet lors de la découverte de l’instance ouverte, mais n’avait pas reçu de réponse au moment de la publication. Cependant, le problème n’est maintenant que partiellement résolu, l’instance Firebase ouverte a été fermée et n’est plus accessible.