Des milliers d'applications Android contiennent des secrets codés en dur, ce qui signifie qu'un acteur malveillant - et pas nécessairement très habile - pourrait avoir accès aux clés API, aux seaux de stockage Google, aux bases de données non protégées, etc.
Les recherches menées par Cybernews montrent que plus de la moitié des 30 000 applications examinées laissent échapper des secrets qui pourraient avoir d'énormes répercussions tant pour les développeurs d'applications que pour leurs clients.
"Le codage en dur de données sensibles dans le côté client d'une application Android est une mauvaise idée. Dans la plupart des cas, il est facile d'y accéder par rétro-ingénierie", explique Vincentas Baubonis, chercheur à Cybernews.
Après un mois d'enquête, les chercheurs ont découvert qu'une grande quantité de données pouvait être analysée en quelques semaines avec ce que Baubonis appelle une "infrastructure médiocre". Un acteur de menace persistante disposant d'outils plus avancés pourrait extraire plus de secrets en un temps plus court et les utiliser ensuite à des fins malveillantes.
L'étude a révélé que 55,94 % (18 647) des applications analysées contenaient des secrets codés en dur, notamment différentes clés API et même des liens vers des bases de données ouvertes exposant des données sensibles d'entreprises et d'utilisateurs. Au total, les chercheurs ont identifié plus de 124 000 chaînes de caractères susceptibles de laisser échapper des données sensibles. Les secrets les plus codés en dur se trouvent dans les applications de cinq catégories : santé et forme physique, éducation, outils, style de vie et affaires.
Les chercheurs ont également découvert une faille logique dans les services cloud de Google, qui permet de télécharger des applications directement à partir du Play Store sans aucun avertissement quant à leur caractère malveillant. Cependant, le fait de stocker les applications dans Google Drive pour les transférer sur une autre machine, puis d'essayer de les télécharger à partir de là, incite Google à avertir de leurs dangers potentiels. Sur plus de 33 000 applications analysées, les chercheurs n'ont pas pu en télécharger 44 depuis Google Drive, alors qu'ils n'ont eu aucun problème à les télécharger directement depuis le Play Store.
Source : Cybernews
Et vous ?
Trouvez-vous cette étude pertinente ?
Voir aussi :
L'UE veut imposer aux fabricants de téléphones une période de 5 ans pour les mises à jour de sécurité, de 3 ans pour les mises à jour de l'OS, et une fourniture des pièces de rechange sur 5 ans
Erik Prince veut vous vendre un smartphone « sécurisé » trop beau pour être vrai, son système LibertOS serait « impénétrable » avec « un niveau de chiffrement de qualité gouvernementale »
L'application d'une chaîne de restauration surprise en train de collecter des données de géolocalisation des utilisateurs à quelques minutes d'intervalle durant toute la journée
Des milliers d'applications Android laissent échapper des secrets codés en dur, ce qui pourrait avoir d'énormes répercussions
Tant pour les développeurs d'applications que pour leurs clients
Des milliers d'applications Android laissent échapper des secrets codés en dur, ce qui pourrait avoir d'énormes répercussions
Tant pour les développeurs d'applications que pour leurs clients
Le , par Sandra Coret
Une erreur dans cette actualité ? Signalez-nous-la !