IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des milliers d'applications Android laissent échapper des secrets codés en dur, ce qui pourrait avoir d'énormes répercussions
Tant pour les développeurs d'applications que pour leurs clients

Le , par Sandra Coret

1PARTAGES

6  0 
Des milliers d'applications Android contiennent des secrets codés en dur, ce qui signifie qu'un acteur malveillant - et pas nécessairement très habile - pourrait avoir accès aux clés API, aux seaux de stockage Google, aux bases de données non protégées, etc.

Les recherches menées par Cybernews montrent que plus de la moitié des 30 000 applications examinées laissent échapper des secrets qui pourraient avoir d'énormes répercussions tant pour les développeurs d'applications que pour leurs clients.

"Le codage en dur de données sensibles dans le côté client d'une application Android est une mauvaise idée. Dans la plupart des cas, il est facile d'y accéder par rétro-ingénierie", explique Vincentas Baubonis, chercheur à Cybernews.


Après un mois d'enquête, les chercheurs ont découvert qu'une grande quantité de données pouvait être analysée en quelques semaines avec ce que Baubonis appelle une "infrastructure médiocre". Un acteur de menace persistante disposant d'outils plus avancés pourrait extraire plus de secrets en un temps plus court et les utiliser ensuite à des fins malveillantes.

L'étude a révélé que 55,94 % (18 647) des applications analysées contenaient des secrets codés en dur, notamment différentes clés API et même des liens vers des bases de données ouvertes exposant des données sensibles d'entreprises et d'utilisateurs. Au total, les chercheurs ont identifié plus de 124 000 chaînes de caractères susceptibles de laisser échapper des données sensibles. Les secrets les plus codés en dur se trouvent dans les applications de cinq catégories : santé et forme physique, éducation, outils, style de vie et affaires.

Les chercheurs ont également découvert une faille logique dans les services cloud de Google, qui permet de télécharger des applications directement à partir du Play Store sans aucun avertissement quant à leur caractère malveillant. Cependant, le fait de stocker les applications dans Google Drive pour les transférer sur une autre machine, puis d'essayer de les télécharger à partir de là, incite Google à avertir de leurs dangers potentiels. Sur plus de 33 000 applications analysées, les chercheurs n'ont pas pu en télécharger 44 depuis Google Drive, alors qu'ils n'ont eu aucun problème à les télécharger directement depuis le Play Store.


Source : Cybernews

Et vous ?

Trouvez-vous cette étude pertinente ?

Voir aussi :

L'UE veut imposer aux fabricants de téléphones une période de 5 ans pour les mises à jour de sécurité, de 3 ans pour les mises à jour de l'OS, et une fourniture des pièces de rechange sur 5 ans

Erik Prince veut vous vendre un smartphone « sécurisé » trop beau pour être vrai, son système LibertOS serait « impénétrable » avec « un niveau de chiffrement de qualité gouvernementale »

L'application d'une chaîne de restauration surprise en train de collecter des données de géolocalisation des utilisateurs à quelques minutes d'intervalle durant toute la journée

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de OrthodoxWindows
Membre émérite https://www.developpez.com
Le 20/09/2022 à 23:57
Cela ne me surprend pas, les applications Android sont fréquemment codée n'importe comment.
2  0 
Avatar de HaryRoseAndMac
Membre extrêmement actif https://www.developpez.com
Le 21/09/2022 à 0:17
Citation Envoyé par OrthodoxWindows Voir le message
Cela ne me surprend pas, les applications Android sont fréquemment codée n'importe comment.
Codée n'importe comment c'est possible mais en même temps ...

Si tu fais une application qui n'a pas vocation à aller sur internet mais que tu proposes quand même un ID/Password, je ne vois pas pourquoi tu va payer un serveur, développer tout un backend à maintenir, ... uniquement pour stocker des mots de passes qui n'ont pas vocation à se retrouver sur internet ...

Pour moi, ce sujet c'est une manière pour les constructeurs et les OS de ne pas assumer leurs défaillances.
1  0 
Avatar de OrthodoxWindows
Membre émérite https://www.developpez.com
Le 21/09/2022 à 0:23
Citation Envoyé par HaryRoseAndMac Voir le message
Codée n'importe comment c'est possible mais en même temps ...

Si tu fais une application qui n'a pas vocation à aller sur internet mais que tu proposes quand même un ID/Password, je ne vois pas pourquoi tu va payer un serveur, développer tout un backend à maintenir, ... uniquement pour stocker des mots de passes qui n'ont pas vocation à se retrouver sur internet ...

Pour moi, ce sujet c'est une manière pour les constructeurs et les OS de ne pas assumer leurs défaillances.
Je suis d'accord, Android est lui-même un système défaillant. Je l'ai d'ailleurs déjà souligné (ailleurs sur le forum).
Ce que je voulait dire, c'est que les applications mobiles (Android et IOS) sont souvent considérée de moindre importance par-rapport développement bureautique/entreprise/serveur. En témoignes les nombreuses applications codées en JavaScript.
1  0 
Avatar de OrthodoxWindows
Membre émérite https://www.developpez.com
Le 21/09/2022 à 1:19
Citation Envoyé par HaryRoseAndMac Voir le message
ça a peut-être à voir avec le fait que le Java est le langage natif d'android
Merci ça doit être cela. Désolé pour la confusion.
1  0 
Avatar de HaryRoseAndMac
Membre extrêmement actif https://www.developpez.com
Le 21/09/2022 à 0:46
Citation Envoyé par OrthodoxWindows Voir le message
Je suis d'accord, Android est lui-même un système défaillant. Je l'ai d'ailleurs déjà souligné (ailleurs sur le forum).
Ce que je voulait dire, c'est que les applications mobiles (Android et IOS) sont souvent considérée de moindre importance par-rapport développement bureautique/entreprise/serveur. En témoignes les nombreuses applications codées en JavaScript.

Au rédacteur : Cela n'a rien a voir, mais pourquoi un icône Java s'affiche sur le logo de l'actualité ? Cela n'a rien a voir avec le sujet dont il est question.
ça a peut-être à voir avec le fait que le Java est le langage natif d'android
0  0