Developpez.com - Rubrique Android

Le Club des Développeurs et IT Pro

Des milliers d'applications Android laissent échapper des secrets codés en dur~? ce qui pourrait avoir d'énormes répercussions

Tant pour les développeurs d'applications que pour leurs clients

Le 2022-09-19 12:08:34, par Sandra Coret, Communiqués de presse
Des milliers d'applications Android contiennent des secrets codés en dur, ce qui signifie qu'un acteur malveillant - et pas nécessairement très habile - pourrait avoir accès aux clés API, aux seaux de stockage Google, aux bases de données non protégées, etc.

Les recherches menées par Cybernews montrent que plus de la moitié des 30 000 applications examinées laissent échapper des secrets qui pourraient avoir d'énormes répercussions tant pour les développeurs d'applications que pour leurs clients.

"Le codage en dur de données sensibles dans le côté client d'une application Android est une mauvaise idée. Dans la plupart des cas, il est facile d'y accéder par rétro-ingénierie", explique Vincentas Baubonis, chercheur à Cybernews.


Après un mois d'enquête, les chercheurs ont découvert qu'une grande quantité de données pouvait être analysée en quelques semaines avec ce que Baubonis appelle une "infrastructure médiocre". Un acteur de menace persistante disposant d'outils plus avancés pourrait extraire plus de secrets en un temps plus court et les utiliser ensuite à des fins malveillantes.

L'étude a révélé que 55,94 % (18 647) des applications analysées contenaient des secrets codés en dur, notamment différentes clés API et même des liens vers des bases de données ouvertes exposant des données sensibles d'entreprises et d'utilisateurs. Au total, les chercheurs ont identifié plus de 124 000 chaînes de caractères susceptibles de laisser échapper des données sensibles. Les secrets les plus codés en dur se trouvent dans les applications de cinq catégories : santé et forme physique, éducation, outils, style de vie et affaires.

Les chercheurs ont également découvert une faille logique dans les services cloud de Google, qui permet de télécharger des applications directement à partir du Play Store sans aucun avertissement quant à leur caractère malveillant. Cependant, le fait de stocker les applications dans Google Drive pour les transférer sur une autre machine, puis d'essayer de les télécharger à partir de là, incite Google à avertir de leurs dangers potentiels. Sur plus de 33 000 applications analysées, les chercheurs n'ont pas pu en télécharger 44 depuis Google Drive, alors qu'ils n'ont eu aucun problème à les télécharger directement depuis le Play Store.


Source : Cybernews

Et vous ?

Trouvez-vous cette étude pertinente ?

Voir aussi :

L'UE veut imposer aux fabricants de téléphones une période de 5 ans pour les mises à jour de sécurité, de 3 ans pour les mises à jour de l'OS, et une fourniture des pièces de rechange sur 5 ans

Erik Prince veut vous vendre un smartphone « sécurisé » trop beau pour être vrai, son système LibertOS serait « impénétrable » avec « un niveau de chiffrement de qualité gouvernementale »

L'application d'une chaîne de restauration surprise en train de collecter des données de géolocalisation des utilisateurs à quelques minutes d'intervalle durant toute la journée
  Discussion forum
5 commentaires
  • OrthodoxWindows
    Membre émérite
    Cela ne me surprend pas, les applications Android sont fréquemment codée n'importe comment.
    le 20/09/2022 à 23:57
  • HaryRoseAndMac
    Membre extrêmement actif
    Envoyé par OrthodoxWindows
    Cela ne me surprend pas, les applications Android sont fréquemment codée n'importe comment.
    Codée n'importe comment c'est possible mais en même temps ...

    Si tu fais une application qui n'a pas vocation à aller sur internet mais que tu proposes quand même un ID/Password, je ne vois pas pourquoi tu va payer un serveur, développer tout un backend à maintenir, ... uniquement pour stocker des mots de passes qui n'ont pas vocation à se retrouver sur internet ...

    Pour moi, ce sujet c'est une manière pour les constructeurs et les OS de ne pas assumer leurs défaillances.
    le 21/09/2022 à 0:17
  • OrthodoxWindows
    Membre émérite
    Envoyé par HaryRoseAndMac
    Codée n'importe comment c'est possible mais en même temps ...

    Si tu fais une application qui n'a pas vocation à aller sur internet mais que tu proposes quand même un ID/Password, je ne vois pas pourquoi tu va payer un serveur, développer tout un backend à maintenir, ... uniquement pour stocker des mots de passes qui n'ont pas vocation à se retrouver sur internet ...

    Pour moi, ce sujet c'est une manière pour les constructeurs et les OS de ne pas assumer leurs défaillances.
    Je suis d'accord, Android est lui-même un système défaillant. Je l'ai d'ailleurs déjà souligné (ailleurs sur le forum).
    Ce que je voulait dire, c'est que les applications mobiles (Android et IOS) sont souvent considérée de moindre importance par-rapport développement bureautique/entreprise/serveur. En témoignes les nombreuses applications codées en JavaScript.
    le 21/09/2022 à 0:23
  • OrthodoxWindows
    Membre émérite
    Envoyé par HaryRoseAndMac
    ça a peut-être à voir avec le fait que le Java est le langage natif d'android
    Merci ça doit être cela. Désolé pour la confusion.
    le 21/09/2022 à 1:19
  • HaryRoseAndMac
    Membre extrêmement actif
    Envoyé par OrthodoxWindows
    Je suis d'accord, Android est lui-même un système défaillant. Je l'ai d'ailleurs déjà souligné (ailleurs sur le forum).
    Ce que je voulait dire, c'est que les applications mobiles (Android et IOS) sont souvent considérée de moindre importance par-rapport développement bureautique/entreprise/serveur. En témoignes les nombreuses applications codées en JavaScript.

    Au rédacteur : Cela n'a rien a voir, mais pourquoi un icône Java s'affiche sur le logo de l'actualité ? Cela n'a rien a voir avec le sujet dont il est question.
    ça a peut-être à voir avec le fait que le Java est le langage natif d'android
    le 21/09/2022 à 0:46