histats

Cyber ​​​​Security Today, 2 septembre 2022 – Des centaines d’applications mobiles non sécurisées découvertes, comment créer des logiciels en toute sécurité et un tollé concernant le suivi des téléphones portables de la police américaine

Cyber ​​​​Security Today, 2 septembre 2022 – Des centaines d’applications mobiles non sécurisées découvertes, comment créer des logiciels en toute sécurité et un tollé concernant le suivi des téléphones portables de la police américaine

Des centaines d’applications mobiles non sécurisées trouvées, comment créer des logiciels en toute sécurité et la fureur suscitée par le suivi des téléphones portables de la police américaine.

Bienvenue dans la cybersécurité aujourd’hui. C’est vendredi 2. Septembre 2022. Je suis Howard Solomon, journaliste en cybersécurité pour le ITWorldCanada.com.

Un peu plus de 1 800 applications mobiles mal faites pour les plates-formes iPhone/iPad et Android ont été découvertes par des chercheurs en sécurité. Le problème : près des trois quarts des applications incluaient des jetons valides qui permettaient d’accéder aux serveurs Amazon AWS. Et beaucoup avaient des jetons qui auraient également donné un accès complet à des millions de fichiers privés détenus dans des compartiments de stockage Amazon S3. Les jetons étaient enfouis dans le code des applications et auraient pu être trouvés et exploités par des pirates. Les victimes auraient été des entreprises pour lesquelles les développeurs ont créé les applications. Dans un cas, plus de 300 000 empreintes digitales numériques ont été divulguées par cinq applications bancaires mobiles. L’accès à l’infrastructure informatique de 16 applications de jeu en ligne était également susceptible d’être piraté.

Les chercheurs de Symantec, qui ont fait la découverte, pensent que ces clés d’accès codées en dur ont été ajoutées par inadvertance aux applications par des développeurs qui ont inséré ce qu’ils pensaient être des composants de confiance dans leur code logiciel. Ou ils ont peut-être eu besoin d’utiliser une clé d’accès codée en dur pour une fonctionnalité, mais ont oublié de temporiser la clé pour des raisons de sécurité. De telles erreurs peuvent être évitées si les développeurs de logiciels utilisent des outils d’analyse de sécurité avant de finalement publier une application. Si une entreprise utilise un fournisseur externalisé, le développeur doit soumettre une fiche de rapport d’application mobile indiquant comment l’application a été testée. Il est important que les kits et cadres de développement de logiciels tiers soient examinés avant d’être inclus dans les applications.

See also  Voici ce que nous savons de la cyberattaque Optus et ce que vous pouvez faire pour protéger vos données

Ceci et d’autres types de problèmes de chaîne d’approvisionnement de logiciels peut être limité si les développeurs suivent les directives publiées cette semaine par la US National Security Agency et la Cybersecurity and Infrastructure Security Agency. Le guide de 64 pages décrit les meilleures pratiques pour créer des applications en toute sécurité, vérifier les composants tiers qu’elles incluent et renforcer une application pour prouver qu’elle n’a pas été altérée.

Les utilisateurs d’Instagram sont aspirés donner des mots de passe et des informations personnelles. Comment? Ils tombent sous le coup d’une offre pour faire vérifier leur profil avec un badge bleu. Il y a un signe à côté de leur nom qui montre que la personne qui publie le message est le vrai John Smith et non un imitateur. La victime pense que l’offre vient d’Instagram et clique sur un lien pour remplir le formulaire ci-joint. Cependant, les chercheurs de Vade Secure pointent le mail de l’expéditeur et les erreurs grammaticales montrent qu’il s’agit d’une arnaque. Ni Instagram ni Facebook ne contacteront les utilisateurs pour créer un badge bleu. Les gens doivent postuler.

Pour terminer, la police de près de 24 juridictions américaines a utilisé un outil de suivi des téléphones portables qui leur permet de créer un historique des mouvements de personnes. Parfois, selon l’Associated Press, la police n’obtient pas de mandat de perquisition pour accéder aux données de localisation. En effet, les données sont capturées par des applications de téléphonie mobile comme Waze, Starbucks et autres et vendues par eux à une société appelée Fog Data Science. L’entreprise appelle les données des « identifiants publicitaires » qui sont placés sur les smartphones des individus par ces applications mobiles. C’est différent, selon la société, des numéros d’identification attribués par les opérateurs de téléphonie mobile lorsque vous achetez un téléphone. L’implication est qu’il ne s’agit pas d’une violation des droits des personnes en vertu de la Constitution américaine, car ils installent sciemment des applications sur leurs téléphones. Il n’est pas clair si c’est vrai ou si cela viole les lois de l’État sur la confidentialité. On ne sait pas si la police au Canada utilise ce service.

See also  Oui, vous êtes surveillé, même si personne ne vous cherche

L’Electronic Frontier Foundation a également publié un rapport à ce sujet. Il note que même si les soi-disant données d’identification publicitaire que la police scanne n’ont pas le nom d’utilisateur ou l’adresse d’un appareil, elles peuvent le découvrir en suivant les données qui montrent qu’un appareil s’arrête régulièrement dans une résidence la nuit.

Plus tard dans la journée, l’édition Week in Review sera publiée. La commentatrice invitée Terry Cutler du Laboratoire de Cyologie de Montréal parlera des femmes dans la cybersécurité et plus encore.

Les liens vers les détails des histoires de podcast sont dans la version texte à ITWorldCanada.com.

Suivez Cyber ​​​​Security Today sur Apple Podcasts, Google Podcasts ou ajoutez-nous au Flash Briefing sur votre haut-parleur intelligent.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *