Android : une liste de 380 applications avec des vulnérabilités SSL

Le par  |  2 commentaire(s)
https

Une liste continuellement mise à jour référence près de 380 applications Android vulnérables à des attaques man-in-the-middle.

Disponibles sur les stores de Google et Amazon, des applications Android échouent à valider correctement des certificats SSL fournis lors de connexions sécurisées HTTPS. Cela expose les utilisateurs à des attaques man-in-the-middle où un attaquant sur le même réseau est capable de voir ou modifier du trafic qui aurait dû être protégé via HTTPS.

Logo AndroidLes conséquences de telles attaques sont variables en fonction du type de l'application utilisée, mais il peut en résulter le vol de données sensibles comme des identifiants ou une exécution de code arbitraire.

L'alerte est tout à fait sérieuse puisqu'elle émane d'un CERT - Computer Emergency Response - américain. Et le chercheur en sécurité Will Dormann n'a pas pris de gants en mettant en ligne une liste qui référence actuellement près de 380 applications affectées.

Cette liste sera mise à jour continuellement. Elle devrait pousser les développeurs concernés à agir rapidement, tandis que les utilisateurs pourront y jeter un œil pour décider le cas échéant de désinstaller une application vulnérable en attendant sa correction.

Le bon conseil est d'éviter d'utiliser des applications avec des connexions soi-disant sécurisées sur des réseaux non sûrs dont des hotspots publics. Par ailleurs, le CERT ajoute qu'il peut être préférable d'utiliser un navigateur Web pour accéder à certaines ressources. " Vous pouvez alors éviter des situations où un certificat SSL ne peut pas être validé ( ndlr : avec une application ). "

C'est grâce à un outil baptisé CERT Tapioca que la tâche de vérification de la présence de vulnérabilités SSL dans des applications a pu être automatisée.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1807564
j'ai créer une application perso sous android pour me connecter à mon Raspberry sur mon serveur Apache en SSL.
j'ai créer des certificats perso sur mon serveur et il a fallu que je les importe sur firefox sur mon PC pour ne pas avoir de message d'avertissement SSL

mais sur mon appli ça marche direct en connection sans rien me demander de plus.
personnellement ça m'arrange car je ne pense pas avoir de risque, je n'avais pas trop de raison d'utiliser SSL pour cette appli mais surtout je n'ai aucune idée de ce que j'aurais du paramétrer dans mon appli pour qu'il attende un certificat valide

il faudra que je me penche là dessus si j'ai des fonctions plus critiques que je veux mettre dans mon appli
Le #1807571
Pour les applications en général, il est difficile de savoir même si c'est sécurisés ou pas.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]