Des experts en sécurité ont testé des applications mobiles Android disponbiles sur le portail Google Play et tenté d'obtenir un accès aux données sensibles qu'elles font transiter, qu'il s'agisse d'échanges de messages privés ou de données financières.

Après un screening de 13500 applications gratuites pour tester l'implémentation du protocole de sécurisation SSL, ils se sont aperçus que pour un millier d'entre elles, il était possible de recourir à des attaques de type " man-in-the-middle " permettant d'insérer un mouchard dans la communication entre le terminal et un serveur et de passer outre la protection SSL.

Android logo pro  Resserrant encore le spectre, les chercheurs ont analysé plus précisément 41 de ces applications et sont parvenus à obtenir des informations sensibles (données de compte bancaire, informations de paiement, emails, messages Facebook, identifiants pour du stockage en ligne, voire même accès à des webcams), en utilisant diverses vulnérabilités dont certaines sont bien connues et documentées sur le Web.


Gare à l'illusion de sécurité
Ils estiment ainsi que 185 millions d'utilisateurs de systèmes Android sont ainsi à la merci de ces implémentations fragiles ou négligentes des protocoles de sécurité, avec le risque de voir des données personnelles et bancaires interceptées par des personnes indélicates.

Et ces défauts ne sont pas le fait d'applications confidentielles ou de développeurs peu expérimentés mais bien de logiciels largement diffusés. Les experts en sécurité citent le cas d'un antivirus acceptant des certificats invalides permettant de placer dans sa base des signatures de malwares qu'il laisse alors passer, ou de services de stockage en ligne ou de messagerie dont les identifiants et les messages peuvent être récupérés facilement alors qu'ils comptent plusieurs millions d'utilisateurs.

Il apparaît cependant que les défauts de sécurité proviennent souvent de développeurs tiers plutôt que du fournisseur direct des services ou de l'application.

Source : Ars Technica