FireEye vient de procéder à l’analyse des 1000 applications gratuites les plus téléchargées sur la plate-forme Google Play. 674 d’entre elles contiennent au moins une à trois bugs SSL. Parmi les applications figurent en particulier Camera360 téléchargée à plus de 250 millions de reprises.

Voilà qui ne va pas arranger la réputation de piètre sécurité liée à la plate-forme Android et ses applications. En effet, La société de sécurité FireEye a conduit une analyse détaillée des 1000 applications gratuites les plus téléchargées sur Google Play.

68% d’entre elles sont affectées au minimum par des failles liées à SSL. Parmi les vulnérabilités découvertes figurent des possibilités d’attaque de type « Man in the Middle ». En conséquence, les utilisateurs peuvent se voir voler leurs données, dévoilent les chercheurs de FireEye. Les trois types de failles détectées par l’entreprise sont la non-vérification des certificats, l’utilisation de vérifications de noms de domaines qui sont inopérants ou encore les apps qui ignorent les erreurs SSL dans Webkit.

Un correctif pour Camera360

Lors d’une discussion avec nos confrères de SC Magazine, Vishwanath Raman, ingénieur cher FireEye a déclaré que la faille présente dans Camera360 était la plus critique car elle pouvait permettre à un attaquant d’avoir un accès presque intégral aux données présentes sur le smartphone. Toutefois, précisons que les développeurs de Camera360 ont publié récemment un correctif. Les nouvelles versions sont donc sûres.

Les chercheurs de FireEye ont également découvert que les failles SSL existaient également dans les librairies des annonces publicitaires. Les chercheurs ont cependant partiellement dédouané Google qui a fourni un nombre important de conseils pour la sécurisation des applications avec les serveurs web, conseils qui ne sont pas suffisamment entendus selon l’entreprise de sécurité. « Typiquement, les développeurs d’applications ne sont pas des experts en sécurité et il s’agit de questions plutôt complexes qui nécessitent une bonne compréhension de l’infrastructure à clé publique et la manière dont elle doit être réalisée sur une plateforme donnée », précise M. Raman.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI