Les applications tierces gratuites pour Android peuvent ne pas être aussi sécurisées que le pensent la plupart des consommateurs..

Un groupe d'informaticiens a montré que près de 185 millions d'utilisateurs Android pourraient exposer des informations bancaires en ligne et des informations d'identification de réseaux sociaux, ainsi que des contacts et du contenu par e-mail / messagerie instantanée..

Les chercheurs ont identifié 41 applications sur le Play Market de Sandwich à la crème glacée de Google, qui ont laissé filtrer des informations importantes entre deux téléphones.

Les scientifiques n’ont pas identifié publiquement les applications infectées, mais elles ont déclaré avoir été téléchargées 39,5 à 185 millions de fois. Des chercheurs ont accusé les autorités de certification et les sites Web de ne pas avoir mis en place les protections appropriées.

Le groupe, composé d'informaticiens des universités allemande Leibniz de Hanovre et Philipps de Marbourg, a présenté ses conclusions à la conférence sur la sécurité des ordinateurs et des communications de cette semaine.

Attaquer Android

Les scientifiques ont recréé l'utilisation d'applications sur un réseau local pour tester un ensemble d'exploits bien connus visant à dérober des informations sensibles..

Les chercheurs ont pu casser les protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security) utilisés par les applications pour protéger les informations des utilisateurs. Bien que les technologies SSL et TLS soient généralement considérées comme sûres, des violations peuvent survenir lorsque les développeurs ou les sites Web ne prennent pas les mesures appropriées pour protéger les utilisateurs..

"Nous pourrions collecter des informations sur les comptes bancaires, les identifiants de paiement pour PayPal, American Express et autres", ont écrit les chercheurs dans leur article.

"En outre, les identifiants et les messages de Facebook, de messagerie et de stockage en nuage ont été divulgués, l'accès aux caméras IP a été obtenu et les canaux de contrôle des applications et des serveurs distants pourraient être subvertis."

Application Android: l'étude

Les scientifiques ont commencé par télécharger 13 500 applications gratuites sur Google Play et à vérifier si leur implémentation SSL était vulnérable à l'exploitation.

Les chercheurs étaient curieux de savoir à quel point ces applications pouvaient résister aux attaques de type MITM (Man-In-The-Middle), qui ciblent des informations transférées via des points d'accès Wi-Fi publics et d'autres réseaux non sécurisés..

Après l'analyse statique, l'équipe a constaté que 8% (ou 1 074 applications) contenaient "un code spécifique à SSL acceptant tous les certificats ou tous les noms d'hôte pour un certificat et sont donc potentiellement vulnérables aux attaques MITM".

Les chercheurs ont ensuite sélectionné 100 applications à auditer manuellement en les connectant à un réseau utilisant un proxy SSL..

Les résultats

Dans certains cas, les applications acceptaient les certificats SSL signés par les chercheurs même s’ils n’étaient pas une autorité de certification valide. D'autres certificats acceptés autorisaient un nom de domaine à accéder aux données de l'utilisateur qui n'étaient pas le site auquel l'application était censée accéder..

Les scientifiques ont également utilisé avec succès les attaques SSLstrip, qui ont remplacé les protocoles SSL par leur propre version non chiffrée. Certaines applications ont également accepté des certificats signés par des autorités qui n'étaient plus valides.

Les exemples incluent une application antivirus qui accepte les certificats non valides et permet à l'équipe de fournir sa propre signature malveillante. Également une application tierce pour un "site Web 2.0 populaire comptant jusqu'à 1 million d'utilisateurs" a échappé les informations d'identification de Facebook et Google lors de la connexion à ces sites..

Les recherches n'ont pas révélé quelles applications spécifiques étaient vulnérables, probablement pour éviter que les applications sensibles ne soient désignées comme des cibles faciles. Au lieu de cela, ils ont utilisé des termes généraux tels que "service de messagerie multiplateforme très populaire".

La plupart des programmes utilisés dans l'étude semblaient être des applications tierces gratuites plutôt que les versions officielles de sites et de services..

Google ne doit pas être blâmé, mais peut faire beaucoup pour aider

Le groupe a également noté qu'aucune de ces applications n'avait été développée par le géant de la recherche, mais les ingénieurs de Google peuvent aider à sécuriser ces applications. Une solution consiste à préciser aux utilisateurs lorsque la connexion fournie par une application est cryptée et quand elle ne l'est pas..

L'étude montre à quel point les protocoles SSL et TLS peuvent être vulnérables lorsque les développeurs ne prennent pas les mesures appropriées pour sécuriser leurs infrastructures. Étant donné que SSL et TLS ont créé la base de la quasi-totalité des mesures de sécurité permettant d’obtenir des données d’un utilisateur à un serveur, ces ingénieurs logiciels devraient en prendre note..

Les auteurs ont souligné quelques méthodes permettant aux développeurs d’Android de mieux protéger leurs applications. L’un des moyens consiste à épingler un certificat, ce qui complique beaucoup la tâche des applications qui acceptent de faux certificats..

Mais on dirait que vous obtenez ce que vous payez lorsque vous faites confiance à des informations sensibles avec une application bancaire gratuite.

Les utilisateurs qui cherchent à se protéger peuvent soumettre les applications à la même analyse statique que les scientifiques lors du téléchargement de nouveaux programmes. Ou bien, les utilisateurs concernés pourraient vouloir s'abstenir de transmettre des données personnelles sur des réseaux Wi-Fi publics non sécurisés..

Via Ars Technica, l'étude "Pourquoi Eve et Mallory aiment Android"