Sécurité : FireEye estime que des applications mobiles connues sont vulnérables

01 juin 2018 à 15h36
0
L'éditeur FireEye met en lumière plusieurs risques de sécurité sur mobiles, en particulier lorsque les pirates ciblent les applications. La société estime que nombre d'entre-elles, même connues, possèdent des vulnérabilités.

FireEye publie une étude dans laquelle il indique avoir analysé pas moins de 7 millions d'applications mobiles sous Android et iOS. L'éditeur a concentré son attention sur certains des services parmi les plus populaires, en particulier ceux qui affichent plus de 50 000 téléchargements au compteur.

0190000007510859-photo-s-curit-mobile.jpg


La société précise que nombre de vulnérabilités peuvent être exploitées par des pirates pour collecter des données personnelles ou bancaires, ou bien encore afficher des publicités non-désirées (.pdf). Le champ des possibles est vaste : des applications malveillantes capables de capter des données, au code rédigé de manière insuffisamment sécurisée en passant par l'envoi non-sollicité de SMS ou d'appels.

En ce qui concerne Android, l'éditeur note que des failles ont été découvertes dans plusieurs applications analysées. Ces vulnérabilités permettent de prendre éventuellement contrôle d'un terminal ou créer une augmentation de privilèges. FireEye pointe particulièrement du doigt une méthode permettant à un pirate d'injecter des contenus ou des liens malveillantes par le biais du composant WebView, celui-ci permettant d'afficher du contenu Web.

De son côté, Google a fait le choix de ne plus apporter de correctifs pour les versions antérieures à Android 4.4 fonctionnant avec ce moteur de rendu. Mais pour l'éditeur de sécurité, pas moins de 31% des applications analysées sont encore vulnérables à des attaques par ce biais. Certaines d'entre elles pourraient même permettre de collecter des informations bancaires, médicales ou sur la santé des utilisateurs.

Parmi les autres menaces sur Android, le rapport précise que les adwares touchent à présent 410 000 applications, parmi celles étudiées. Le fait de proposer des publicités dont le but est de collecter les informations des utilisateurs touche particulièrement les applications de divertissement et touchant la vie quotidienne.

Sur iOS, « des menaces rares mais potentiellement sérieuses »

En ce qui concerne les applications sur la boutique d'applications d'Apple, FireEye précise que les vulnérabilités sont peu fréquentes. Toutefois, leur utilisation peut s'avérer dangereuse en particulier pour les entreprises qui utilisent des applications dans un cadre professionnel. L'éditeur met en lumière une « mauvaise utilisation du protocole SSL/TLS » et d'autres méthodes de chiffrement comme des vecteurs contribuant à affaiblir la sécurité d'une application.

La société explique que ces applications « EnPublic » sont signées avec le certificat des entreprises mais ne passent pas forcément par le processus de révision d'Apple. Ce type de services peut se servir d'API pour reproduire le comportement d'applications classiques sous iOS. Par ce biais, des attaques peuvent alors être dirigées contre un terminal sur lequel l'application est installée.

FireEye précise que ces applications « EnPublic » ne représentent toutefois qu'une faible partie des vulnérabilités rencontrées sur les mobiles.

A lire également
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

ASRock X99E-ITX : vers des PC à la fois compacts et surpuissants
Microsoft : une stratégie multi-plateforme pour développer un modèle freemium
Asus Sabertooth X99 : NVMe, USB 3.1 et monitoring par smartphone
Le blocage des sites incitant au terrorisme débute
Windows 10 : une compression du système pour libérer du stockage
Google Now s'ouvrira aux développeurs tiers
Infos US de la nuit : Pinterest valorisé 11 milliards de dollars
Qnap TS-453mini : un étonnant NAS-lecteur multimédia silencieux
Google courtise les utilisateurs de Firefox ayant migré sur Yahoo!
Microsoft dégaine Azure IoT Suite pour l'Internet des objets
Haut de page