Disponibles sur les stores de Google et Amazon, des applications Android échouent à valider correctement des certificats SSL fournis lors de connexions sécurisées HTTPS. Cela expose les utilisateurs à des attaques man-in-the-middle où un attaquant sur le même réseau est capable de voir ou modifier du trafic qui aurait dû être protégé via HTTPS.

Logo Android Les conséquences de telles attaques sont variables en fonction du type de l'application utilisée, mais il peut en résulter le vol de données sensibles comme des identifiants ou une exécution de code arbitraire.

L'alerte est tout à fait sérieuse puisqu'elle émane d'un CERT - Computer Emergency Response - américain. Et le chercheur en sécurité Will Dormann n'a pas pris de gants en mettant en ligne une liste qui référence actuellement près de 380 applications affectées.

Cette liste sera mise à jour continuellement. Elle devrait pousser les développeurs concernés à agir rapidement, tandis que les utilisateurs pourront y jeter un œil pour décider le cas échéant de désinstaller une application vulnérable en attendant sa correction.

Le bon conseil est d'éviter d'utiliser des applications avec des connexions soi-disant sécurisées sur des réseaux non sûrs dont des hotspots publics. Par ailleurs, le CERT ajoute qu'il peut être préférable d'utiliser un navigateur Web pour accéder à certaines ressources. " Vous pouvez alors éviter des situations où un certificat SSL ne peut pas être validé ( ndlr : avec une application ). "

C'est grâce à un outil baptisé CERT Tapioca que la tâche de vérification de la présence de vulnérabilités SSL dans des applications a pu être automatisée.