Une violation massive de la vie privée dans les applications de rencontre de niche expose les photos sensibles des utilisateurs
Dans le cadre d'une enquête à grande échelle sur les failles de sécurité des applications iOS, Cybernews a découvert des problèmes flagrants qui pourraient avoir entraîné une fuite massive de photos privées provenant d'un certain nombre d'applications de rencontre de niche, toutes issues d'une seule et même application, M.A.D. Mobile. Ces images provenaient non seulement de profils et de messages publics, mais aussi de chats d'utilisateurs, et même d'images supprimées par les modérateurs. Il va sans dire que nombre de ces photos étaient de nature explicite.
Cinq applications de M.A.D. Mobile ont été touchées : BDSM People, l'application de rencontres de luxe Chica et les applications LGBT Pink, Brish et Translovefound. Toutes ces applications utilisaient non seulement une architecture identique, mais avaient également laissé des identifiants de sécurité critiques en clair dans le code de l'application. Ce sont ces clés secrètes qui ont permis aux chercheurs d'accéder au stockage en nuage de Google, où les photos se trouvaient sans aucune forme de chiffrement ou de protection par mot de passe. Cela signifie que toute personne disposant de l'URL - qui a été exposée publiquement - aurait pu accéder aux médias.
Bien entendu, chaque fois que des photos privées sont potentiellement exposées à des acteurs malveillantsil y a un risque de harcèlement, d'extorsion et d'atteinte à la réputation. Cependant, les conséquences d'une violation de la vie privée seraient probablement bien pires pour les utilisateurs d'applications de rencontres spécialisées, d'autant plus que l'homosexualité est illégale dans de nombreux pays.
L'ampleur de la fuite est stupéfiante : plus de 1,5 million de photos téléchargées par les utilisateurs, soit plusieurs centaines de gigaoctets de données. Le fait que les données exposées ne contiennent pas les identités, les noms d'utilisateur, les courriels ou les messages des utilisateurs est une petite consolation, mais une simple recherche inversée d'images pourrait facilement contourner ce problème. Il est à noter que les cinq applications sont exclusives à iOS, et qu'il n'existe pas de version Android ou de version web.
Les chercheurs de Cybernews ont contacté M.A.D. Mobile pour la première fois en janvier, mais la fuite est restée sans réponse. Craignant une inaction persistante de la part de l'entreprise, et à l'encontre de ses propres pratiques habituelles, Cybernews a décidé de publier un rapport sur le problème avant qu'il ne soit résolu avant que le problème ne soit résolu. Ce n'est qu'après que la BBC ( ) a envoyé un courriel à la société à l'entreprise qu'un représentant a répondu que le problème était effectivement résolu, tout en remerciant les chercheurs pour leur aide.
Cet incident ne fait que souligner ce que de nombreux acteurs du domaine de la cybersécurité savent déjà : les applications iOS tierces ne sont ne sont en aucun cas intrinsèquement sûres contre les violations de données. En fait, l'enquête de Cybernews a révélé une information déconcertante. Sur les 156 000 applications examinées (soit 8 % de l'ensemble des applications du magasin Apple ), 71 % exposaient au moins un secret. Le code de l'application moyenne exposait 5,2 secrets.
La principale leçon à tirer de cet incident est que les utilisateurs devraient éviter d'utiliser des applications provenant d'éditeurs inconnus, en particulier lorsqu'il s'agit d'informations très sensibles. Plus précisément, les médias sensibles ne devraient être partagés que sur des plateformes cryptées et des services cryptés qui offrent non seulement un certain degré de protection, mais aussi une responsabilité publique.
