De nombreuses apps mobiles Android abritent des failles de sécurité

Plus de la moitié des applications Android les plus populaires auraient hérité de failles de sécurité à la suite d’une réutilisation « inconsidérée » de bibliothèques logicielles, d’après les ingénieurs de Codenomicon. Ces derniers ont découvert, en avril 2014, la vulnérabilité « Heartbleed » dans la librairie de chiffrement OpenSSL.

Au moins 50% des applications Android concernées transmettraient des données personnelles à des réseaux publicitaires tiers sans autorisation de l’utilisateur, et ce en texte clair dans 30% des cas.

Par ailleurs, une application sur dix enverrait l’identifiant du terminal mobile (code IMEI) ou des données de géolocalisation à une tierce partie, voire le numéro de téléphone mobile de l’utilisateur. De plus, une application sur dix serait connectée à plus de deux réseaux de publicité, souligne Silicon.fr.

D’après Codenomicon, entreprise finlandaise spécialisée dans la sécurité informatique, la plupart des développeurs de ces applications n’ont pas connaissance des vulnérabilités qu’ils ont intégré au code.

Un développement hasardeux ou des erreurs de logique peuvent être à l’origine d’une vulnérabilité. Malgré tout, des développeurs peuvent aussi agir intentionnellement dans le but de rendre l’application logicielle vulnérable aux attaques. Ces bugs sont parfois rapidement identifiés et corrigés, d’autres, comme dans le cas de Heartbleed, ne le sont pas pendant deux ans, observent les analystes.

Enfin, 80% à 90% des applications mobiles, dans leur ensemble, intègrent des bibliothèques logicielles réutilisées, disponibles pour la plupart en open source, a estimé Olli Jarva, Chief Security Specialist chez Codenomicon, dans les colonnes du magazine australien ITnews.

La pratique devrait théoriquement permettre à la communauté de développeurs de proposer du code de meilleur qualité, du fait du nombre important de contributeurs impliqués. Mais les nombreux bugs identifiés dans OpenSSL ont démontré, selon Codenomicon, que cela n’était pas le cas.

Quizz ITespresso.fr : Etes-vous incollable sur Android ?

Crédit image : ra2studio-Shutterstock.com

Recent Posts

Digital Workplace : comment l’IA Générative s’installe dans l’environnement de travail

L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…

2 jours ago

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

2 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

4 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

1 mois ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

3 mois ago