fbpx
ActualitésAndroidAppsGoogleHackingHigh TechMobileSécurité

Les applications Android les plus courantes sont livrées avec des composants vulnérables

Les chercheurs ont constaté que plusieurs applications Android populaires, telles que Facebook, AliExpress et WeChat, sont livrées avec des composants logiciels obsolètes contenant des failles de sécurité non corrigées.

Les vulnérabilités natives dans les applications mobiles tierces sont d’un type. Ceux au niveau du système d’exploitation en sont un autre. Les deux nécessitent que les fabricants d’appareils et les éditeurs de logiciels publient des correctifs en temps voulu pour atténuer le risque de tels exploits.

Mais que se passe-t-il si ces applications contiennent d’anciens composants logiciels qui hébergent des vulnérabilités qui ont été longtemps corrigées? C’est exactement ce que les chercheurs de la société de cybersécurité Check Point Research ont décidé de trouver.

«Pour vérifier notre hypothèse selon laquelle des vulnérabilités connues depuis longtemps pourraient persister même dans les applications récemment publiées sur Google Play, nous les avons analysées à la recherche de modèles connus associés à des versions vulnérables de code source ouvert», ont déclaré les chercheurs Artyom Skrobov et Slava Makkaveev.

Les applications mobiles utilisent généralement des composants disponibles immédiatement (bibliothèques) pour obtenir une fonctionnalité spécifique. Comme souvent avec tout logiciel, lorsque des vulnérabilités sont découvertes dans de telles bibliothèques à source ouverte, les développeurs d’applications doivent s’assurer que leurs applications sont mises à jour pour inclure les correctifs à mesure de leur disponibilité.

Mais les chercheurs de Check Point ont déclaré avoir trouvé des dizaines d’applications Android – telles que Yahoo Browser, Facebook (et Messenger), AliExpress, SHAREit et WeChat – qui intègrent des bibliothèques vulnérables obsolètes.

Ces failles affectent les bibliothèques de lecture audio et vidéo – CVE-2014-8962, CVE-2015-8271 et CVE-2016-3062 – qui pourraient potentiellement permettre à un attaquant d’exécuter du code arbitraire, qui ont toutes été corrigées il y a deux ans.

Instagram a été initialement identifié comme l’une des applications concernées, mais a depuis été exclu. « Instagram n’est pas concerné par CVE-2016-3062 et nous avons un correctif en place depuis sa mise en place », a déclaré Facebook à Check Point.

Il convient de souligner que la seule présence de défauts ne signifie pas que les applications sont vulnérables aux exploits. Cela montre ensuite que les responsables d’applications doivent faire preuve de plus de rigueur pour s’assurer que leurs applications sont à jour.

Malheureusement, en tant qu’utilisateur de ces applications, vous ne pouvez pas faire grand chose pour protéger vos appareils, car ces failles persistent même s’ils sont mis à jour à la dernière version.

«Si vous avez un appareil mobile, vous savez à quel point il est important de maintenir à jour le système d’exploitation principal et toutes les applications installées», ont conclu les chercheurs. «Il est choquant de constater que ces précautions ne sont d’aucune aide lorsque les responsables de la maintenance des applications négligent d’incorporer des correctifs de sécurité dans leurs versions des composants courants.»

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page