Android : des failles dans plusieurs applications pourraient être exploitées pour intercepter des données Selon un chercheur en sécurité

Les terminaux mobiles
font partie de nos jours
du quotidien des
consommateurs.
Plusieurs opérations se
font désormais au travers
d’applications mobiles, au détriment
des sites Web. Cependant, les
applications mobiles n’offriraient
pas une bonne sécurisation des
transmissions des données, par
rapport aux sites Web.
Selon l’expert en sécurité Will
Dormann du CERT (Computer
Emergency Response Team) de
l’université Carnegie Mellon, les
développeurs d’applications mobiles
publient sur les galeries des
applications qui ne valident pas
correctement les certificats SSL pour
les connexions HTTPS.
En utilisant l’outil CERT Tapioca
développé par le CERT, il a identifié
plusieurs applications sur le Play
Store et sur la galerie d’applications
d’Amazon qui ne valident pas les
certificats numériques, exposant les
utilisateurs à des attaques MITM
(man in the middle attack – attaque
de l’homme du milieu).
Celui-ci a publié dans une feuille de
calcul une liste d’applications
vulnérables. Le test des applications
est en cours et la liste sera
constamment mise à jour. La liste a
été transmise à Google et Amazon,
et les développeurs de ces
applications ont été informés.
Cependant, Will Dormann a choisi de
publier la liste sans attendre le
délai de 45 jours qui doit en
principe être accordé aux
développeurs dont les applications
ont été identifiées comme
vulnerables. Will Dormann justifie ce
choix par le fait que les attaques de
types MITM sont devenues
fréquentes et qu’en informant les
utilisateurs, ils utiliseront ces
applications avec prudence et
certains désinstalleront même celles-
ci.
De plus, Will Dormann explique que
dans le cadre d’autres recherches
sur les vulnérabilités SSL dans les
applications Android, les
développeurs de ces applications
ont été informés des problèmes et
ils n’ont pas pris des mesures pour
corriger celles-ci.
Will Dormann conseille les
utilisateurs d’avoir recours aux sites
Web plutôt qu’aux applications pour
certains services. « Par exemple, si
une banque peut fournir une
application Android pour accéder à
ses ressources, ces ressources sont
généralement disponibles en
utilisant un navigateur Web. Grâce
au navigateur, vous pouvez éviter les
situations ou SSL peut ne pas être
valide », explique Will Dormann, qui
invite les utilisateurs à être
prudents sur les réseaux non
sécurisés, y compris les WiFi publics.
« L’utilisation de votre appareil sur
un réseau non sécurisé augmente
les chances d’être victime d’une
attaque MITM », ajoute celui-ci.
Il faut noter que les vulnérabilités
SSL dans les applications mobiles
ont déjà attiré l’attention de la FTC
(Federal Trade Commission) qui a
récemment pointé du doigt deux
entreprises américaines qui avaient
affirmé aux consommateurs utilisant
Android et iOS que leurs données
étaient transmises en toute sécurité
via leurs applications, alors qu’elles
avaient prétendument désactivé la
vérification du certificat SSL.
Source : CERT

Advertisements
%d blogueurs aiment cette page :