De nombreuses apps mobiles Android abritent des failles de sécurité

CloudMobilitéOS mobiles
application-mobile-android

Plus de la moitié des applications mobiles Android les plus populaires intègrent des failles de sécurité, à cause d’une réutilisation “inconsidérée” de bibliothèques logicielles.

Plus de la moitié des applications Android les plus populaires auraient hérité de failles de sécurité à la suite d’une réutilisation “inconsidérée” de bibliothèques logicielles, d’après les ingénieurs de Codenomicon. Ces derniers ont découvert, en avril 2014, la vulnérabilité « Heartbleed » dans la librairie de chiffrement OpenSSL.

Au moins 50% des applications Android concernées transmettraient des données personnelles à des réseaux publicitaires tiers sans autorisation de l’utilisateur, et ce en texte clair dans 30% des cas.

Par ailleurs, une application sur dix enverrait l’identifiant du terminal mobile (code IMEI) ou des données de géolocalisation à une tierce partie, voire le numéro de téléphone mobile de l’utilisateur. De plus, une application sur dix serait connectée à plus de deux réseaux de publicité, souligne Silicon.fr.

D’après Codenomicon, entreprise finlandaise spécialisée dans la sécurité informatique, la plupart des développeurs de ces applications n’ont pas connaissance des vulnérabilités qu’ils ont intégré au code.

Un développement hasardeux ou des erreurs de logique peuvent être à l’origine d’une vulnérabilité. Malgré tout, des développeurs peuvent aussi agir intentionnellement dans le but de rendre l’application logicielle vulnérable aux attaques. Ces bugs sont parfois rapidement identifiés et corrigés, d’autres, comme dans le cas de Heartbleed, ne le sont pas pendant deux ans, observent les analystes.

Enfin, 80% à 90% des applications mobiles, dans leur ensemble, intègrent des bibliothèques logicielles réutilisées, disponibles pour la plupart en open source, a estimé Olli Jarva, Chief Security Specialist chez Codenomicon, dans les colonnes du magazine australien ITnews.

La pratique devrait théoriquement permettre à la communauté de développeurs de proposer du code de meilleur qualité, du fait du nombre important de contributeurs impliqués. Mais les nombreux bugs identifiés dans OpenSSL ont démontré, selon Codenomicon, que cela n’était pas le cas.

 

Quizz ITespresso.fr : Etes-vous incollable sur Android ?

 

Crédit image : ra2studio-Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur