MWR InfoSecurity alerte sur les risques des applications mobiles gratuites
Le code utilisé pour fournir la publicité supportant certaines applications gratuites pourrait être utilisé à des fins malicieuses.
Les applications mobiles gratuites, supportées par la publicité, rencontrent sans surprise l’intérêt du public. Mais MWR InfoSecurity alerte sur les risques qu’elles représentent.
Sans surprise, lors de l’installation de ces applications, sur les terminaux Android en particulier, certains utilisateurs offrent sans méfiance un accès à leur liste de contacts, aux contenus de leurs SMS, voire de leurs e-mails, relève le cabinet. Las, « si les utilisateurs font confiance au développeur de l’application, le code inséré par les annonceurs peut introduire des vulnérabilités que des attaquants peuvent exploiter pour accéder aux terminaux via l’application ».
Pire, les autorisations accordées par un utilisateur à une application gratuite peuvent être héritées par une autre contenant le code du même réseau publicitaire : « les réseaux publicitaire contiennent cette fonctionnalité appelée données ‘inter-applications’ ».
Dans un reportage publié sur la chaîne de télévision britannique Channel 4, Robert Miller, chercheur chez MWR, souligne que le risque concerne également les terminaux iOS et que des attaquants peuvent profiter des fonctionnalités utilisées par les annonceurs pour accéder, à leur tour, à des données personnelles, des messages, des informations de localisation, voire passer des appels, exploiter la caméra ou le microphone, etc.
Pour MWR InfoSecurity, la situation est claire : « les annonceurs doivent être plus responsables vis à vis de la sécurité et les utilisateurs doivent redoubler de vigilance ».
Les risques de la réutilisation du code déjà soulignés
Si le cabinet souligne ici le rôle – et la gourmandise – des publicitaires, d’autres s’inquiètent depuis longtemps des risques liés à la réutilisation du code. En novembre 2013, une étude de Sonatype faisait le point sur ceux relatifs au code Open Source, largement recyclé dans les logiciels modernes.
Une étude qui mettait en exergue plusieurs impératifs, à commencer par celui de créer et de tenir à jour une liste de tout le code utilisé, en intégrant les dépendances et les sources, et en associant des points de contact désignés pour suivre les listes de diffusion et les mises à jour. Une approche du cycle de vie des applications intégrant les questions de sécurité, en somme.
De quoi par ailleurs souligner l’importance de la conteneurisation pour sécuriser les données sensibles sur les terminaux mobiles.