Roskatchestvo a découvert des applications mobiles de recherche d’emploi non sécurisées

Russian Quality System réalise une étude de référence et une étude plus détaillée des applications mobiles de recherche d’emploi la première étude a été réalisée en avril 2023. afin de suivre la dynamique et de vérifier si les défauts ont été corrigés par les développeurs au cours de l’année. Les résultats complets de l’étude seront publiés en août 2023, mais déjà Roskatchestvo fait état de plusieurs apps vulnérables. Les experts de Roskatchestvo ont testé 16 applications pour Android et 15 pour iOS afin de détecter les vulnérabilités, les logiciels malveillants et la sécurité des transferts de données. Ces applications seront également testées pour vérifier l’exhaustivité des fonctionnalités, la facilité d’utilisation, les performances, la fiabilité et la portabilité.

Lors d’une enquête sur la sécurité des applications, il a été déterminé que certaines applications étaient partiellement non cryptées. Il s’agit notamment de :

• iOS : Indeed Jobs, Trovit seuls les liens vers les emplois ne sont pas cryptés , Avito Ads seules les photos ne sont pas cryptées , PROFI seules les photos ne sont pas cryptées ;

• Android : Superjob, Paie.Pioneer, Rosrabota, PROFI, Avito Ads seules les photos ne sont pas cryptées , Worki seules les données des appareils ne sont pas cryptées , Trovit seuls les liens vers les emplois ne sont pas cryptés .

La transmission de contenu non crypté rend le dispositif vulnérable aux attaques. Cela signifie que le contenu transmis peut être remplacé par un fichier exécutable qui, une fois ouvert, peut exécuter un logiciel malveillant. Ainsi, bien que cela soit improbable, mais néanmoins possible, avec le désir et les compétences nécessaires, un pirate peut prendre le contrôle d’un appareil. Cela dit, il convient de noter que toutes les applications susmentionnées transmettent des données personnelles à l’aide d’algorithmes de cryptage.

Les résultats de l’étude ont également permis d’identifier les applications qui ne chiffrent pas les données personnelles des utilisateurs. Ils ont reçu un score de 0,5 sur une échelle de 0,5 à 5,5 pour la sécurité des données :

• iOS : Jobrapido

• Android : Jobrapido et Careerist.ru

Ilya Loevsky, chef adjoint du système de qualité Français.« Selon la norme relative aux exigences de qualité des applications mobiles élaborée par Roskachevo en coopération avec la communauté des experts, le transfert de toutes les données y compris les données personnelles des utilisateurs et le contenu des applications par une application mobile doit être effectué à l’aide d’algorithmes de cryptage. Par exemple, l’application Careerist.ore pour Android transmet en clair le fichier des noms d’utilisateur et des mots de passe ; Jobrapido pour les deux plateformes ne crypte pas non plus les données des utilisateurs. Cela permet aux attaquants d’y accéder en interceptant le trafic. En outre, l’absence de cryptage rend le dispositif vulnérable aux attaques. Nous encourageons activement les promoteurs à respecter les normes afin de protéger les intérêts du consommateur. »

Les applications les plus sûres, qui transmettent toutes les données sous forme cryptée et sont exemptes de logiciels malveillants et de vulnérabilités importantes, s’avèrent être les suivantes :

• iOS : SuperJob, Yandex.Emplois, emplois en France et FarPost ;

• Android : HeadHunter, Indeed Work, Work in Russia et FarPost.

Les applications salariales ont également reçu des scores élevés.Ru, Carriériste.ru, YouDo, Worki, HeadHunter et Work.ru » pour iOS note finale supérieure à 5,0 sur une échelle de 0,5 à 5,5 .

Il convient de noter que le score moyen des applications iOS est supérieur de 0,67 au score moyen des applications Android, ce qui s’explique par le niveau de sécurité plus élevé de la plateforme mobile fermée d’Apple. Pour réaliser cette étude, le laboratoire d’essai a consulté des experts de Group IB, une société internationale spécialisée dans la prévention des cyberattaques et le développement de produits de sécurité de l’information.

Vyacheslav Vasin, analyste principal chez Group-IB.« Pour la personne moderne, l’utilisation d’applications mobiles est un moyen assez facile et pratique de trouver un emploi. La plus grande menace à laquelle sont confrontés les utilisateurs de ces applications est l’accès non autorisé à leurs données personnelles. Cette menace peut être réalisée par un stockage non sécurisé et une fuite involontaire de données ou par une transmission non sécurisée des données. Les conséquences pour les utilisateurs peuvent être des plus désastreuses : de la mise dans le domaine public de leurs informations privées au vol de leur argent sur leur compte bancaire

Pour éviter de devenir une victime, les experts conseillent de suivre des règles assez simples :

• télécharger et installer des applications uniquement à partir de sources officielles magasins ;

• pour analyser les réactions des autres utilisateurs et le nombre de téléchargements ;

• limiter les autorisations demandées lors de l’installation d’applications ;

• n’utilisez pas les applications lorsque vous êtes connecté à des réseaux Wi-Fi publics gratuits ;

• ne saisissez pas les détails de votre carte bancaire dans des applications douteuses.

Et surtout, ne partagez pas avec l’application des informations que vous ne voudriez pas voir apparaître publiquement sur Internet.