Vol de données par des apps malveillantes sur le Google Play Store

Après la découverte de deux applications de gestion des fichiers disponibles sur le Google Play Store qui récupèrent silencieusement les données sensibles de l’utilisateur et les téléchargent sur divers serveurs basés en Chine, voici les commentaires de Melissa Bischoping, Directrice, Endpoint Security Research chez Tanium, au sujet de la gestion des appareils mobiles et des accès aux données en entreprise. Tribune.

« Une politique “Bring Your Own Device” conduit souvent à des difficultés sur la gestion des appareils mobiles dans les grandes entreprises. Par exemple, vous ne pouvez pas contrôler les applications qu’un employé peut installer ou le niveau d’accès qu’il accorde à ces applications. Il est important d’évaluer les risques et les avantages de permettre l’accès mobile aux données de l’entreprise à partir d’appareils personnels car il est courant de trouver des applications malveillantes ou non sécurisées sur le Play Store. Cela, combiné au au fait qu’il existe une très grande variété d’appareils et de versions d’Android, rend très difficile la gestion centralisée et le contrôle des politiques de sécurité sur ces appareils, même s’ils sont la propriété de l’entreprise.

Un élément du rapport attire mon attention et mérite d’être souligné : les applications prétendent ne pas collecter de données alors qu’en réalité elles le font pour la plupart d’entre elles. Les utilisateurs sont souvent encouragés à faire confiance aux rapports sur la confidentialité et la sécurité des données disponibles sur la page de l’application dans le Play Store, et ce type de tromperie détériore la confiance des utilisateurs envers l’ensemble des applications et pas seulement celles analysées dans le rapport de Pradeo. Il y a plus de 3,5 millions d’applications dans le Play Store, il serait donc extrêmement difficile d’effectuer une analyse approfondie de conformité sur chaque application par rapport à ce qui est déclaré en matière de confidentialité et de sécurité. Cela dit, ce type d’inexactitude démontre la nécessité d’un contrôle et d’une validation plus stricts sur les applications disponibles sur les magasins d’applications.

Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.