Des applications Android vulnérables aux interceptions
Selon FireEye, 68 % des 1000 applications Android les plus populaires présentent des vulnérabilités SSL. Et de prévenir que certaines applications d’entreprises pourraient l’être aussi.
FireEye a profité de l’été pour se pencher sur la fiabilité des implémentations SSL des 1000 applications Android gratuites les plus téléchargées sur le magasin applicatif Google Play, en date du 17 juillet. Et le bilan n’est guère brillant : 674 d’entre elles présentent au moins l’une des trois vulnérabilités SSL étudiées. Ainsi, sur 614 applications utilisant SSL/TLS pour communiquer avec un serveur, 448 ne vérifient pas les certificats. Cinquante applications utilisent un système de vérifier des noms d’hôte qui leur est propre… mais ne fait rien. Et sur 285 applications utilisant le moteur de rendu HTML WebKit, 219 ignorent les erreurs SSL qu’il relève. Et ce n’est qu’un petit échantillon. Etendue à environ 10 000 applications gratuites prises au hasard, l’étude ne donne pas de meilleurs résultats : 40 % d’entre elles ne vérifient pas les certificats, notamment.
La conséquence ? Les communications de ces applications sont susceptibles d’être interceptées dans le cadre d’attaques de type man-in-the-middle. Et tout particulièrement lorsqu’elles sont utilisées sur des réseaux Wi-Fi publics.
Et FireEye de prévenir en outre qu’un « attaquant pourrait utiliser sa capacité à intercepter ces communications pour exploiter d’autres vulnérabilités sur le terminal. » Pour lui, « la probabilité que quelqu’un puisse, et utilise ces vulnérabilités pour attaquer des utilisateurs mobiles est élevée. Cela signifie que la probabilité que les utilisateurs corporate [des applications vulnérables, NDLR] soient exposés au risque est également élevé. »
Mais FireEye va plus loin, invitant les RSSI à la prudence. Relevant que les vulnérabilités en question sont liées à des librairies dont l’usage est courant, il estime que des « applications critiques utilisées par des entreprise pourraient également être vulnérables », sans compter les applications importées par les utilisateurs dans le périmètre de l’entreprise – le fameux Shadow IT. Surtout, FireEye estime qu’il existe une possibilité que « en obtenant un accès suffisant à un terminal, un attaquant puisse exploiter quelque vulnérabilité dans le conteneur [sécurisé d’applications administrées, NDLR] pour accéder à des données sensibles. »