Certaines des applications en cours d’exécution les plus populaires sont encore à la traîne en matière de sécurité et de confidentialité. C’est le verdict des chercheurs en sécurité qui ont examiné les principales applications en cours d’exécution à cinq ans d’intervalle et ont constaté que seules quelques applications s’étaient améliorées – et pas de beaucoup.

Les applications en cours d’exécution en savent beaucoup sur vous et en apprennent beaucoup sur vous lorsque vous les utilisez. Vos données de santé, comme votre taille et votre poids, sont utilisées pour calculer le nombre de calories que vous brûlez, et vos données de localisation peuvent suivre votre parcours d’entraînement de porte à porte.

Mais entre de mauvaises mains, ces données peuvent identifier où vous vivez ou où vous travaillez. En 2018, Strava a déclaré qu’il simplifierait ses fonctionnalités de confidentialité pour permettre à ses utilisateurs un plus grand contrôle sur leurs données, après que les chercheurs ont découvert que les utilisateurs de l’application Strava partageaient par inadvertance leurs données d’entraînement et révélaient des bases militaires et des installations gouvernementales secrètes.

Désormais, les chercheurs de la société britannique de cybersécurité Pen Test Partners affirment que bon nombre des meilleures applications – Strava, Runkeeper, MapMyRun, Nike Run Club et Runtastic – n’utilisent toujours pas les mesures de sécurité de base pour empêcher les pirates de s’introduire, ou les données sur la santé et la forme physique. renverser.

Seul Runtastic avait mis en place une politique de mot de passe plus stricte au cours des cinq dernières années, tandis que les autres applications autorisent toujours certains des mots de passe les plus élémentaires comme «123456» et «mot de passe», ont constaté les chercheurs lors de leurs tests. Les pirates malveillants automatisent souvent leurs attaques en ciblant les comptes d’utilisateurs avec des mots de passe connus ou faciles à deviner. Pire encore, aucune des applications ne permet aux utilisateurs de configurer une authentification à deux facteurs, une fonctionnalité qui met en place une barrière supplémentaire pour empêcher les pirates malveillants de réutiliser des mots de passe volés. Les données de Google montrent que même la forme la plus simple d’authentification à deux facteurs peut empêcher la plupart des attaques de réutilisation de mot de passe automatisées.

Nous avons demandé à chacun des créateurs d’applications pourquoi ils n’avaient pas mis en œuvre l’authentification à deux facteurs. Aucune des entreprises n’a commenté.

Les chercheurs ont également constaté que si Runtastic, Nike Run Club et MapMyRun avaient amélioré leurs contrôles de confidentialité, Strava avait vu …