Les chercheurs en sécurité de CyberNews ont découvert que des milliers d’applications Android cachent des « hard coded secrets » dans leur code source. Il peut s’agir de noms d’utilisateur, de mots de passe, de clés API ou d’autres informations importantes du code source. Ces informations d’identification permettent aux développeurs d’échanger des données avec leurs pairs en interne.
Malheureusement, cette pratique met en danger la confidentialité des informations. Une fois glissés dans le code, les « hard coded secrets » peuvent se retrouver à la merci des pirates. Ils mettent donc en péril la sécurité de l’application.
« Coder en dur des données sensibles du côté client d’une application Android est une mauvaise idée. Dans la plupart des cas, elles sont facilement accessibles grâce à la rétro-ingénierie », déclare Vincentas Baubonis, chercheur chez CyberNews.
La rétro-ingénierie, aussi appelée ingénierie inversée, consiste à analyser un programme informatique pour décortiquer son fonctionnement interne. Dans le cadre d’une application, les attaquants fouillent dans le code source par le biais de l’APK (Android Package Kit).
Les secrets du code source des applications Android
CyberNews a analysé le code de 33 334 applications Android du Play Store. Verdict : 18 647 des apps étudiées cachent des informations sensibles, dont des clés d’API, dans leur code source. 17 767 clés API Google étaient visibles. Les chercheurs ont aussi découvert des liens vers des bases de données ouvertes à n’importe quel visiteur.
Par exemple, plus de 14 000 adresses URL relayant vers des bases de données Firebase ont été repérées. Ces bases de données contiennent des informations sensibles sur l’application et sur ses utilisateurs. Plus de 600 liens redirigeaient vers des bases en accès public.
CyberNews a aussi découvert des liens relayant vers Google Cloud Storage, le service de stockage de fichiers en ligne. Enfin, des données relatives à Facebook ont été trouvées. Elles pourraient théoriquement permettre de lancer une attaque DDOS sur l’application par le biais de comptes Facebook. Sans surprise, tous les experts en sécurité recommandent de ne jamais inclure d’informations confidentielles dans le code source d’un logiciel.
Insécurité sur le Play Store
Pendant leur enquête, les chercheurs ont identifié un défaut dans les mesures de sécurité de Google. Apparemment, le Play Store néglige parfois de mettre en garde les utilisateurs de la présence d’un logiciel malveillant.
« Sur plus de 33 000 applications, les chercheurs n’ont pas pu télécharger 44 applications depuis Google Drive, même s’ils n’ont eu aucun problème à les télécharger directement depuis le Play Store », s’étonne CyberNews.
Il semblerait qu’une faille laisse les utilisateurs installer des applications malveillantes sur leur smartphone ou leur tablette. Pour les chercheurs, « il est probable que de nombreuses autres applications malveillantes puissent être téléchargées » sans mise en garde.
Il n’est pas rare qu’un logiciel malveillant parvienne à pénétrer sur le Play Store à l’insu de Google. Récemment, 35 applications Android infectées par un malware ont été découvertes sur la boutique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.