IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Android Discussion :

Des milliers d'applications Android laissent échapper des secrets codés en dur, d'après Cybernews


Sujet :

Android

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2018
    Messages
    1 612
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 32
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2018
    Messages : 1 612
    Points : 119 645
    Points
    119 645
    Par défaut Des milliers d'applications Android laissent échapper des secrets codés en dur, d'après Cybernews
    Des milliers d'applications Android laissent échapper des secrets codés en dur, ce qui pourrait avoir d'énormes répercussions tant pour les développeurs d'applications que pour leurs clients

    Des milliers d'applications Android contiennent des secrets codés en dur, ce qui signifie qu'un acteur malveillant - et pas nécessairement très habile - pourrait avoir accès aux clés API, aux seaux de stockage Google, aux bases de données non protégées, etc.

    Les recherches menées par Cybernews montrent que plus de la moitié des 30 000 applications examinées laissent échapper des secrets qui pourraient avoir d'énormes répercussions tant pour les développeurs d'applications que pour leurs clients.

    "Le codage en dur de données sensibles dans le côté client d'une application Android est une mauvaise idée. Dans la plupart des cas, il est facile d'y accéder par rétro-ingénierie", explique Vincentas Baubonis, chercheur à Cybernews.

    Nom : Main_statistics_Android_apps_leak.png
Affichages : 1038
Taille : 50,5 Ko

    Après un mois d'enquête, les chercheurs ont découvert qu'une grande quantité de données pouvait être analysée en quelques semaines avec ce que Baubonis appelle une "infrastructure médiocre". Un acteur de menace persistante disposant d'outils plus avancés pourrait extraire plus de secrets en un temps plus court et les utiliser ensuite à des fins malveillantes.

    L'étude a révélé que 55,94 % (18 647) des applications analysées contenaient des secrets codés en dur, notamment différentes clés API et même des liens vers des bases de données ouvertes exposant des données sensibles d'entreprises et d'utilisateurs. Au total, les chercheurs ont identifié plus de 124 000 chaînes de caractères susceptibles de laisser échapper des données sensibles. Les secrets les plus codés en dur se trouvent dans les applications de cinq catégories : santé et forme physique, éducation, outils, style de vie et affaires.

    Les chercheurs ont également découvert une faille logique dans les services cloud de Google, qui permet de télécharger des applications directement à partir du Play Store sans aucun avertissement quant à leur caractère malveillant. Cependant, le fait de stocker les applications dans Google Drive pour les transférer sur une autre machine, puis d'essayer de les télécharger à partir de là, incite Google à avertir de leurs dangers potentiels. Sur plus de 33 000 applications analysées, les chercheurs n'ont pas pu en télécharger 44 depuis Google Drive, alors qu'ils n'ont eu aucun problème à les télécharger directement depuis le Play Store.

    Nom : Found_secrets_Android_apps_leak.png
Affichages : 1024
Taille : 110,7 Ko

    Source : Cybernews

    Et vous ?

    Trouvez-vous cette étude pertinente ?

    Voir aussi :

    L'UE veut imposer aux fabricants de téléphones une période de 5 ans pour les mises à jour de sécurité, de 3 ans pour les mises à jour de l'OS, et une fourniture des pièces de rechange sur 5 ans

    Erik Prince veut vous vendre un smartphone « sécurisé » trop beau pour être vrai, son système LibertOS serait « impénétrable » avec « un niveau de chiffrement de qualité gouvernementale »

    L'application d'une chaîne de restauration surprise en train de collecter des données de géolocalisation des utilisateurs à quelques minutes d'intervalle durant toute la journée
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2021
    Messages
    543
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : novembre 2021
    Messages : 543
    Points : 1 480
    Points
    1 480
    Par défaut
    Cela ne me surprend pas, les applications Android sont fréquemment codée n'importe comment.

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2022
    Messages
    218
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Communication - Médias

    Informations forums :
    Inscription : août 2022
    Messages : 218
    Points : 422
    Points
    422
    Par défaut
    Citation Envoyé par OrthodoxWindows Voir le message
    Cela ne me surprend pas, les applications Android sont fréquemment codée n'importe comment.
    Codée n'importe comment c'est possible mais en même temps ...

    Si tu fais une application qui n'a pas vocation à aller sur internet mais que tu proposes quand même un ID/Password, je ne vois pas pourquoi tu va payer un serveur, développer tout un backend à maintenir, ... uniquement pour stocker des mots de passes qui n'ont pas vocation à se retrouver sur internet ...

    Pour moi, ce sujet c'est une manière pour les constructeurs et les OS de ne pas assumer leurs défaillances.

  4. #4
    Membre expérimenté
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2021
    Messages
    543
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : novembre 2021
    Messages : 543
    Points : 1 480
    Points
    1 480
    Par défaut
    Citation Envoyé par HaryRoseAndMac Voir le message
    Codée n'importe comment c'est possible mais en même temps ...

    Si tu fais une application qui n'a pas vocation à aller sur internet mais que tu proposes quand même un ID/Password, je ne vois pas pourquoi tu va payer un serveur, développer tout un backend à maintenir, ... uniquement pour stocker des mots de passes qui n'ont pas vocation à se retrouver sur internet ...

    Pour moi, ce sujet c'est une manière pour les constructeurs et les OS de ne pas assumer leurs défaillances.
    Je suis d'accord, Android est lui-même un système défaillant. Je l'ai d'ailleurs déjà souligné (ailleurs sur le forum).
    Ce que je voulait dire, c'est que les applications mobiles (Android et IOS) sont souvent considérée de moindre importance par-rapport développement bureautique/entreprise/serveur. En témoignes les nombreuses applications codées en JavaScript.

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2022
    Messages
    218
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Communication - Médias

    Informations forums :
    Inscription : août 2022
    Messages : 218
    Points : 422
    Points
    422
    Par défaut
    Citation Envoyé par OrthodoxWindows Voir le message
    Je suis d'accord, Android est lui-même un système défaillant. Je l'ai d'ailleurs déjà souligné (ailleurs sur le forum).
    Ce que je voulait dire, c'est que les applications mobiles (Android et IOS) sont souvent considérée de moindre importance par-rapport développement bureautique/entreprise/serveur. En témoignes les nombreuses applications codées en JavaScript.

    Au rédacteur : Cela n'a rien a voir, mais pourquoi un icône Java s'affiche sur le logo de l'actualité ? Cela n'a rien a voir avec le sujet dont il est question.
    ça a peut-être à voir avec le fait que le Java est le langage natif d'android

  6. #6
    Membre expérimenté
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2021
    Messages
    543
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : novembre 2021
    Messages : 543
    Points : 1 480
    Points
    1 480
    Par défaut
    Citation Envoyé par HaryRoseAndMac Voir le message
    ça a peut-être à voir avec le fait que le Java est le langage natif d'android
    Merci ça doit être cela. Désolé pour la confusion.

Discussions similaires

  1. Réponses: 5
    Dernier message: 12/09/2019, 11h17
  2. Réponses: 0
    Dernier message: 14/08/2017, 09h07
  3. Réponses: 6
    Dernier message: 04/05/2010, 02h48
  4. Versioning automatique des applications android
    Par titou624 dans le forum Android
    Réponses: 8
    Dernier message: 26/04/2010, 22h46
  5. Developper des applications Android pour Netbook ?
    Par LeMeD dans le forum Android
    Réponses: 0
    Dernier message: 25/01/2010, 15h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo