Nombreuses sont les applications VPN sur Android qui présentent un risque de sécurité
D'après une étude

Le , par Stéphane le calme, Chroniqueur Actualités
Utilisez-vous une application VPN sur Android ?
D’après les résultats d’une recherche menée par le CSIRO (Commonwealth Scientific and Industrial Research Organisation) australien, l’université de New South Wales (Australie) et l’université de Berkeley (Californie, États-Unis), de nombreuses applications Android qui se présentent comme étant des clients VPN comportent souvent de faibles protections de sécurité et, dans certains cas, se livrent à des activités malveillantes.

« Depuis la sortie de la version Android 4.0 en octobre 2011, les développeurs d'applications mobiles peuvent utiliser le support natif pour créer des clients VPN via la classe Android VPN Service. Contrairement aux applications sur desktop où un accès racine est nécessaire pour créer des interfaces virtuelles, les développeurs d'applications Android n'ont qu'à demander l'autorisation BIND_VPN_SERVICE (pour plus de simplicité, la "permission VPN") pour créer de tels clients », ont rappelé les chercheurs.

Sur la base de la documentation Android concernant les permissions VPN accordées, les chercheurs ont noté qu’elles permettent à une application d’intercepter et de prendre le contrôle total du trafic d’un utilisateur.

« De nombreuses applications peuvent légitimement utiliser l'autorisation VPN pour offrir (sous une forme ou un autre) l'anonymat en ligne ou pour permettre l'accès au contenu censuré », ont assuré les chercheurs qui ont compté par millions les utilisateurs Android qui se servent de ce type d’applications. « Cependant, les développeurs d'applications malveillantes peuvent en abuser pour recueillir les informations personnelles des utilisateurs ».

Pour les besoins de leur étude, les chercheurs se sont intéressés à 283 applications VPN Android qui ont été téléchargées plus de 1,4 million de fois sur Google Play Store et ont répertorié les diverses activités présentant un potentiel risque ainsi que les activités malveillantes qu'ils ont trouvées :

pistage des utilisateurs tiers et accès aux autorisations Android sensibles : même si 67 % des applications Android VPN qui ont été étudiés offrent des services pour améliorer la confidentialité et la sécurité en ligne, 75 % d'entre elles utilisent des bibliothèques tierces de pistage et 82 % demandent des autorisations d'accès aux ressources, y compris des accès aux comptes utilisateurs et aux messages texte ;

présence de logiciels malveillants : alors que 37 % des applications VPN analysés affichaient plus de 500 000 téléchargements et 25 % d'entre elles ont obtenu au moins 4 étoiles, VirusTotal a indiqué que plus de 38 % d'entre elles ont une certaine présence de malware. Les chercheurs ont tout de même pris la peine de parcourir les commentaires des utilisateurs sur ces applications vérolées pour savoir si certains d’entre eux pourraient être au courant d’éventuelles activités malveillantes qui ont lieu sur leur dispositif. « Notre analyse a montré que seul un nombre marginal d’utilisateurs VPN a publiquement émis des préoccupations concernant la sécurité et la vie privée dans leurs commentaires ».

modes d'interception du trafic : l'infrastructure d'hébergement des applications VPN, qui est fortement concentrée aux États-Unis, reste opaque pour l'utilisateur final. 18 % des applications ne mentionnent pas l'entité hébergeant le serveur VPN. Les chercheurs assurent que leurs mesures suggèrent également que 16 % des applications analysées peuvent transmettre le trafic à d'autres utilisateurs via une méthode de pairing au lieu de se servir de machines hébergées sur le cloud. « Ce modèle de transmission soulève un certain nombre de préoccupations en matière de confiance, de sécurité et de vie privée des utilisateurs participants ». Et enfin, 4 % des applications VPN analysées utilisent l'autorisation VPN pour implémenter des proxies localhost afin d'intercepter et d'inspecter localement le trafic des utilisateurs ;

(absence de) chiffrement et fuites de trafic : 18 % des applications VPN mettent en œuvre des protocoles de tunneling sans chiffrement malgré avoir promis aux utilisateurs l'anonymat et la sécurité en ligne. En fait, environ 84 % et 66 % des applications VPN analysées ne créent pas de tunnels IPv6 et DNS pour le trafic via l'interface du tunnel par manque de support IPv6, à cause des erreurs de configuration ou des erreurs dans le développement. L'absence de chiffrement et de fuites de trafic peut faciliter les activités de pistage en ligne ;

manipulation du trafic : 16 % des applications VPN analysées déploient des proxies non transparents qui modifient le trafic HTTP de l'utilisateur en injectant et en supprimant
des en-têtes ou en se servant de techniques d'exécution telles que le transcodage d'image.
« Cependant, les artefacts mis en œuvre par les applications VPN vont au-delà des caractéristiques typiques présentes dans les proxies HTTP. Nous avons identifié deux applications VPN qui injectent activement du code JavaScript sur le trafic de l'utilisateur à des fins de publicité et de pistage et l'une d'entre elles redirige le trafic d'e-commerce vers
des partenaires publicitaires » ;

interception TLS: quatre des applications VPN analysées compromettent la racine des dispositifs des utilisateurs et effectuent activement une interception TLS à la volée. Trois de ces applications prétendent fournir des services d’accélération de trafic et interceptent sélectivement du trafic spécifique à des services en ligne comme les réseaux sociaux, les services bancaires, les sites de commerce électronique, les services de messagerie instantanée et de messagerie électronique.

L'étude a conclu que, en plus du fait que les utilisateurs doivent faire attention lorsqu’ils font un choix d'applications VPN tout en gardant un œil sur les autorisations, Google devrait chercher à aider à remédier à la situation en fixant des limites plus strictes sur ce que les applications VPN sont capables de faire sur Android.

Source : conclusions de l'étude (au format PDF)

Et vous ?

Utilisez-vous une application VPN sur Android ? Si oui, laquelle ? Pour quelles raisons ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Merguezparty Merguezparty - Nouveau Candidat au Club https://www.developpez.com
le 31/01/2017 à 11:20
J'utilise VPNSecure PC et android sur une licence à vie.

Aucune autorisation demandée par l'application sur android, VPN no log et un serveur Russe TCP qui carbure
Offres d'emploi IT
Développeur Full JS (NodeJS/Angular4) Aixois et Startuper 
Bluecoders - Provence Alpes Côte d'Azur - Aix en Provence
Développement d'un Logiciel de commande vocal du clavier active pour toutes applications
Laucher vocal game tmig-0r386 - Provence Alpes Côte d'Azur - marseille
Tech Lead PHP H/F Montpellier
Smile - Languedoc Roussillon - Montpellier (34000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil