Un bogue caché d’Android pourrait mettre en danger vos données personnelles
Mohammad Mannan : « Les conséquences de ces pratiques non sécurisées sont graves. »
En 2023, les appareils Android représentaient plus de 72 % du marché mondial des téléphones intelligents, ce qui souligne l’importance cruciale de la sécurité de ces appareils largement utilisés. Or, une récente découverte faite par des chercheurs de l’École de génie et d’informatique Gina-Cody de l’Université Concordia révèle une vulnérabilité touchant des millions d’utilisateurs d’Android.
Les chercheurs Sajjad Pourali et Xiufen Yu, les professeurs Mohammad Mannan et Amr Youssef ainsi que le professeur Lianying Zhao, de l’Université de Carleton, ont en effet découvert un problème très répandu dans la manière dont les applications Android vérifient la sécurité de leurs connexions à Internet, un processus connu sous le nom de validation des certificats TLS. La technologie standard TLS (Transport Layer Security) garantit une liaison sécurisée et cryptée entre une application et ses serveurs, protégeant ainsi les données des regards indiscrets.
L’équipe a ainsi constaté que de nombreuses applications n’effectuaient pas correctement ce contrôle de sécurité. Le problème survient lorsque les fonctions par défaut qui effectuent le contrôle sont incorrectement remplacées par des contrôles de sécurité imparfaits ou, parfois, ne sont pas exécutées du tout.
« Les conséquences de ces pratiques non sécurisées sont graves », prévient Mohammad Mannan, professeur à l’Institut d’ingénierie des systèmes d’information de l’Université Concordia. « Les connexions TLS non sécurisées peuvent conduire à la divulgation de renseignements personnels ou d’identifiants de connexion, et même permettre aux attaquants de modifier le contenu d’une application ou d’y injecter un code malveillant. »
Les chercheurs ont examiné plus de 7 800 applications Android provenant à la fois de Google Play et du populaire magasin d’applications chinois 360 Mobile Assistant. Fait choquant, 55 % des applications du magasin chinois et 6 % de celles de Google Play présentaient au moins une connexion TLS non sécurisée.
La cause première? Une modification de la bibliothèque OkHttp, un composant fondamental utilisé par de nombreuses applications Android pour gérer les connexions Internet. Cette bibliothèque a été modifiée par inadvertance par Google d’une manière qui a permis à des composants d’applications ou à des bibliothèques ajoutées de contourner facilement les contrôles de sécurité appropriés.
Dans son étude, l’équipe a également constaté que 89 % des applications chinoises et 38 % des applications Google Play présentant des problèmes de TLS utilisaient ces méthodes non sécurisées pour transmettre des données sensibles telles que des mots de passe et des renseignements personnels.
Selon les chercheurs, Google a reconnu le problème, mais s’est dit préoccupé par le fait qu’un correctif pourrait perturber la compatibilité des applications dans l’ensemble de son écosystème.
Les conclusions de l’équipe seront présentées en détail lors du prochain Usenix Security Symposium, qui se tiendra à Philadelphie, aux États-Unis. Les chercheurs prévoient également mettre Marvin, leur outil diagnostique, en libre accès, afin d’aider les développeurs et les chercheurs à cerner et à atténuer des vulnérabilités similaires.
Apprenez-en davantage sur l’Institut d’ingénierie des systèmes d’information de l’Université Concordia.