Ces chercheurs ont procédé à l'analyse détaillée de différentes applications populaires, dont des applications de jeux, de réseaux sociaux, de messagerie, ainsi que des applications médicales ou bancaires.
Cela leur a permis d'identifier 56 millions d'éléments de données personnelles non protégées en raison de cette faille, qui a également été identifiée par le chercheur colombien Jheto Xekri dans une analyse distincte.
"Dans quasiment chacune des catégories, nous avons trouvé une application présentant cette vulnérabilité", a déclaré Siegfried Rasthofer, un membre de cette équipe de l'institut Fraunhofer, spécialisé dans la cybersécurité, de l'université technique de Darmstadt.
Les chercheurs ont refusé de nommer les applications vulnérables mais elles seraient des dizaines de milliers à être concernées, dont certaines des plus prisées sur les plates-formes de téléchargement d'Apple et de Google, ce qui pourrait potentiellement exposer des milliards de fichiers de données personnelles.
Le problème réside dans les procédés qu'utilisent les développeurs pour authentifier les utilisateurs lorsqu'ils stockent les données personnelles de ces derniers, a noté Eric Bodden, qui a dirigé cette équipe.
Ils recourent pour cela aux services de stockage dématérialisé ("cloud") proposés par les plates-formes dédiées aux développeurs comme Parse de Facebook ou Amazon Web Services.
Même si ces services proposent différentes options pour assurer la protection des données, la plupart des développeurs utilisent le réglage par défaut, qui repose sur une "clé" (série de chiffres et de lettres) intégrée dans le code de l'application.
Cela leur a permis d'identifier 56 millions d'éléments de données personnelles non protégées en raison de cette faille, qui a également été identifiée par le chercheur colombien Jheto Xekri dans une analyse distincte.
"Dans quasiment chacune des catégories, nous avons trouvé une application présentant cette vulnérabilité", a déclaré Siegfried Rasthofer, un membre de cette équipe de l'institut Fraunhofer, spécialisé dans la cybersécurité, de l'université technique de Darmstadt.
Les chercheurs ont refusé de nommer les applications vulnérables mais elles seraient des dizaines de milliers à être concernées, dont certaines des plus prisées sur les plates-formes de téléchargement d'Apple et de Google, ce qui pourrait potentiellement exposer des milliards de fichiers de données personnelles.
Le problème réside dans les procédés qu'utilisent les développeurs pour authentifier les utilisateurs lorsqu'ils stockent les données personnelles de ces derniers, a noté Eric Bodden, qui a dirigé cette équipe.
Ils recourent pour cela aux services de stockage dématérialisé ("cloud") proposés par les plates-formes dédiées aux développeurs comme Parse de Facebook ou Amazon Web Services.
Même si ces services proposent différentes options pour assurer la protection des données, la plupart des développeurs utilisent le réglage par défaut, qui repose sur une "clé" (série de chiffres et de lettres) intégrée dans le code de l'application.