Même dans les meilleures applications disponibles sur Google Play, des chercheurs ont découvert des failles de sécurité cruciales. Elles pourraient compromettre les données des utilisateurs d’appareils Android.
Il y a beaucoup d’applications intéressantes à télécharger sur le Marketplace d’Android, mais il y a aussi tout un ensemble de choses dont il faut apprendre à se méfier.
Les développeurs ne sont pas tenus de soumettre leur application à un processus d’examen avant de la diffuser sur Google Play. Cela peut parfois présenter des avantages, mais ça signifie aussi que les utilisateurs ne peuvent jamais être à 100% certains que l’application qu’ils téléchargent est entièrement sécurisée.
Ce fait a été confirmé une fois de plus par les chercheurs Jason Nieh et Nicholas Viennot, qui ont effectué une analyse de contenu des applications disponibles sur Android. Ils ont utilisé un outil évolutif, conçu à cet effet, appelé PlayDrone.
PlayDrone utilise des techniques de piratage pour contourner la sécurité de Google lors du téléchargement des applications sur Google Play, puis récupère et analyse leurs sources. Il évolue en ajoutant plusieurs serveurs à sa base de données et a déjà réussi à dé-compiler 880 000 des 1,1 million d’applications proposées gratuitement pour Android.
Ce que Nieh et Viennot ont découvert est que les développeurs stockent souvent des clés secrètes dans leurs applications, qui peuvent ensuite être utilisées pour voler des données utilisateurs ou des ressources depuis des entités comme Amazon et Facebook.
Même les développeurs les plus populaires de Google gardent ces vulnérabilités dans leurs applications.
La bonne nouvelle est que Google travaille déjà sur la résolution du problème.
Viennot a déclaré :
« Nous avons travaillé en étroite collaboration avec Google, Amazon, Facebook et d’autres fournisseurs de services pour identifier et informer la clientèle à risque, et faire de Google Play un endroit plus sûr pour le stockage. Google est maintenant en train d’utiliser nos techniques pour analyser de manière proactive les problèmes de ces applications pour éviter que cela se reproduise à l’avenir. »
Les développeurs sont également contactés afin qu’ils puissent retirer les clés secrètes de leur code source.
Le travail de PlayDrone n’est pas terminé. Nieh et Viennot pensent qu’il peut être utilisé pour donner un aperçu des applications Android et améliorer la qualité de jeu de Google. Par exemple, l’outil a également révélé que près de 25% de toutes les applications disponibles gratuitement sur Google Play sont des clones d’autres applications qui existent déjà.