FireEye vient de procéder à l’analyse des 1000 applications gratuites les plus téléchargées sur la plate-forme Google Play. 674 d’entre elles contiennent au moins une à trois bugs SSL. Parmi les applications figurent en particulier Camera360 téléchargée à plus de 250 millions de reprises.

Voilà qui ne va pas arranger la réputation de piètre sécurité liée à la plate-forme Android et ses applications. En effet, La société de sécurité FireEye a conduit une analyse détaillée des 1000 applications gratuites les plus téléchargées sur Google Play.

68% d’entre elles sont affectées au minimum par des failles liées à SSL. Parmi les vulnérabilités découvertes figurent des possibilités d’attaque de type « Man in the Middle ». En conséquence, les utilisateurs peuvent se voir voler leurs données, dévoilent les chercheurs de FireEye. Les trois types de failles détectées par l’entreprise sont la non-vérification des certificats, l’utilisation de vérifications de noms de domaines qui sont inopérants ou encore les apps qui ignorent les erreurs SSL dans Webkit.

Un correctif pour Camera360

Lors d’une discussion avec nos confrères de SC Magazine, Vishwanath Raman, ingénieur cher FireEye a déclaré que la faille présente dans Camera360 était la plus critique car elle pouvait permettre à un attaquant d’avoir un accès presque intégral aux données présentes sur le smartphone. Toutefois, précisons que les développeurs de Camera360 ont publié récemment un correctif. Les nouvelles versions sont donc sûres.

Les chercheurs de FireEye ont également découvert que les failles SSL existaient également dans les librairies des annonces publicitaires. Les chercheurs ont cependant partiellement dédouané Google qui a fourni un nombre important de conseils pour la sécurisation des applications avec les serveurs web, conseils qui ne sont pas suffisamment entendus selon l’entreprise de sécurité. « Typiquement, les développeurs d’applications ne sont pas des experts en sécurité et il s’agit de questions plutôt complexes qui nécessitent une bonne compréhension de l’infrastructure à clé publique et la manière dont elle doit être réalisée sur une plateforme donnée », précise M. Raman.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143933
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI