Des bogues dans 12 700 applications Android populaires révèlent des mots de passe codés en dur, des menus cachés et des portes dérobées de sécurité, selon une nouvelle étude
Sans applications mobiles, votre appareil intelligent n'est rien de plus qu'un téléphone multifonction coûteux avec un grand écran tactile et une batterie longue durée. Nous utilisons des applications mobiles à toutes sortes de fins, et nous continuons à en trouver de nouvelles qui nous aident à passer notre journée de travail ou à nous divertir une fois qu'elle est terminée. Il est facile d'oublier que ces applications sont créées par de vrais êtres humains qui font des erreurs. Un récent document de recherche montre à quel point ces erreurs peuvent être fréquentes.
Table of Contents
L'expérience
Le problème avec les bogues logiciels est qu'ils sont souvent difficiles à localiser. La recherche à grande échelle n'est pas vraiment réalisable si les experts doivent procéder à une rétro-ingénierie manuelle des applications une par une, c'est pourquoi, une équipe de chercheurs de l'Ohio State University, de l'Université de New York et du CISPA Helmholtz Center for Information Security a développé un outil automatisé appelé InputScope, qu'ils ont utilisé pour analyser un total de 150 000 applications Android. InputScope est conçu pour trouver automatiquement les bogues dans le code des applications, et les experts étaient intéressés par les erreurs à fort impact, c'est pourquoi ils ont pris certaines des applications Android les plus populaires.
Ils ont classé les applications en fonction du nombre d'installations et ont remporté les 100 000 meilleures applications gratuites de Google Play et les 20 000 meilleures applications gratuites de Baidu Market. Ils comprenaient également un total de 30 000 versions d'applications préinstallées sur les appareils mobiles Samsung.
Il devrait être assez évident que trouver tous les bogues dans 150 000 applications mobiles n'est pas vraiment possible. Les experts se sont concentrés sur les erreurs dans lesquelles certaines entrées utilisateur entraîneraient un comportement inattendu ou non documenté.
Les resultats
Un énorme 12 706 demandes ont été jugées conformes à ce projet de loi, et l'équipe de chercheurs a évalué la situation comme «préoccupante». Ce n'est guère surprenant. N'oublions pas que nous parlons d'applications utilisées par des millions de personnes. Près d'un sur dix d'entre eux est livré avec un bug qui, comme nous le découvrirons dans une minute, pourrait être assez grave parfois.
De plus, bien que l'expérience se soit concentrée sur les applications Android, certains des sujets de test partagent leur base de code avec leurs équivalents iOS, ce qui signifie que davantage d'utilisateurs pourraient être affectés.
Les conséquences
La nature du comportement inattendu des applications était presque aussi variée que la nature des applications elles-mêmes. InputScope a trouvé pas mal de mots de passe codés en dur et de clés secrètes dans de nombreuses applications qui déverrouillent diverses ressources cachées.
Dans certains cas, ils ouvraient des menus de débogage qui étaient transférés des étapes de développement à l'application de production par erreur. Certaines applications sont livrées avec des secrets codés en dur qui débloquent des fonctionnalités premium ou suppriment des publicités. Plus inquiétant, les clés secrètes intégrées dans près de 7 000 applications donneraient aux attaquants un accès aux données personnelles, que les experts qualifient de comportement de porte dérobée.
C'est un problème grave, mais malheureusement, il n'a pas été traité aussi bien qu'il aurait dû l'être. Les chercheurs ont contacté les développeurs de toutes les applications concernées, mais malheureusement, certains d'entre eux n'ont pas répondu. N'oublions pas que nous parlons de milliers de lignes de code. Les erreurs sont inévitables et, malheureusement, parfois, les conséquences sont graves. Le plus triste, c'est que souvent, vous ne pouvez pas faire grand-chose pour vous protéger. Cela étant dit, si vous faites plus attention à ce que vous installez sur votre téléphone, vous êtes plus susceptible d'éviter les applications buggy.