Des chercheurs allemands ont récemment publié une enquête révélant que 41 applications Android gratuites contiennent de graves défaillances dans la mise en œuvre des protocoles SSL et TLS, utilisés pour crypter le trafic web. Parmi ces programmes, le groupe affirme qu’il est possible de saisir non seulement des données telles que les adresses électroniques, les messages et les informations de connexion de Facebook ou Google, mais aussi les coordonnées bancaires de ses utilisateurs.
Pour accéder à ces programmes, le groupe a téléchargé 13 500 applications gratuites de Google Play et chacune a passé un test de vulnérabilité automatique. Au total, le test a permis d’identifier 1 074 programmes potentiels qui pourraient ou non laisser les données exposées. Sur ce total, 100 ont été choisis et testés manuellement – et 41 d’entre eux ont échoué au test.
Malheureusement, les chercheurs ne publient pas les noms des applications, même pour donner aux développeurs le temps de mettre en place des correctifs et de publier sur Google Play. Mais ils révèlent que parmi les applications vulnérables aux attaques figurent “un service de messagerie multi-plateforme” avec 10 à 50 millions d’utilisateurs et qui a laissé exposés des numéros de téléphone du calendrier, un “client pour un site Web 2.0 populaire” avec 1 million d’utilisateurs, et qui laisse exposés les informations de connexion à Facebook et Google.
Les programmes sont vulnérables aux attaques de type “man-in-the-middle” qui permettent à une personne malveillante d’intercepter les données échangées entre les serveurs et le programme. Dans le cas des programmes identifiés par le groupe, cela se produit parce que leur mise en œuvre du SSL est médiocre, permettant entre autres des certificats signés par des entités inexistantes ou des certificats qui ont déjà perdu leur validité aujourd’hui.