Des milliers d’applications Android contiennent des secrets codés en dur, ce qui signifie qu’un acteur malveillant – et pas nécessairement très habile – pourrait avoir accès aux clés API, aux seaux de stockage Google, aux bases de données non protégées, etc.
Les recherches menées par Cybernews montrent que plus de la moitié des 30 000 applications examinées laissent échapper des secrets qui pourraient avoir d’énormes répercussions tant pour les développeurs d’applications que pour leurs clients.
« Le codage en dur de données sensibles dans le côté client d’une application Android est une mauvaise idée. Dans la plupart des cas, il est facile d’y accéder par rétro-ingénierie« , explique Vincentas Baubonis, chercheur à Cybernews.
Après un mois d’enquête, les chercheurs ont découvert qu’une grande quantité de données pouvait être analysée en quelques semaines avec ce que Baubonis appelle une « infrastructure médiocre ». Un acteur de menace persistante disposant d’outils plus avancés pourrait extraire plus de secrets en un temps plus court et les utiliser ensuite à des fins malveillantes.
L’étude a révélé que 55,94 % (18 647) des applications analysées contenaient des secrets codés en dur, notamment différentes clés API et même des liens vers des bases de données ouvertes exposant des données sensibles d’entreprises et d’utilisateurs. Au total, les chercheurs ont identifié plus de 124 000 chaînes de caractères susceptibles de laisser échapper des données sensibles. Les secrets les plus codés en dur se trouvent dans les applications de cinq catégories : santé et forme physique, éducation, outils, style de vie et affaires.
Les chercheurs ont également découvert une faille logique dans les services cloud de Google, qui permet de télécharger des applications directement à partir du Play Store sans aucun avertissement quant à leur caractère malveillant. Cependant, le fait de stocker les applications dans Google Drive pour les transférer sur une autre machine, puis d’essayer de les télécharger à partir de là, incite Google à avertir de leurs dangers potentiels. Sur plus de 33 000 applications analysées, les chercheurs n’ont pas pu en télécharger 44 depuis Google Drive, alors qu’ils n’ont eu aucun problème à les télécharger directement depuis le Play Store.
Source : Cybernews