Disponibles sur les stores de Google et Amazon, des applications Android échouent à valider correctement des certificats SSL fournis lors de connexions sécurisées HTTPS. Cela expose les utilisateurs à des attaques man-in-the-middle où un attaquant sur le même réseau est capable de voir ou modifier du trafic qui aurait dû être protégé via HTTPS.
L'alerte est tout à fait sérieuse puisqu'elle émane d'un CERT - Computer Emergency Response - américain. Et le chercheur en sécurité Will Dormann n'a pas pris de gants en mettant en ligne une liste qui référence actuellement près de 380 applications affectées.
Cette liste sera mise à jour continuellement. Elle devrait pousser les développeurs concernés à agir rapidement, tandis que les utilisateurs pourront y jeter un œil pour décider le cas échéant de désinstaller une application vulnérable en attendant sa correction.
Le bon conseil est d'éviter d'utiliser des applications avec des connexions soi-disant sécurisées sur des réseaux non sûrs dont des hotspots publics. Par ailleurs, le CERT ajoute qu'il peut être préférable d'utiliser un navigateur Web pour accéder à certaines ressources. " Vous pouvez alors éviter des situations où un certificat SSL ne peut pas être validé ( ndlr : avec une application ). "
C'est grâce à un outil baptisé CERT Tapioca que la tâche de vérification de la présence de vulnérabilités SSL dans des applications a pu être automatisée.