Plus de 12 000 applications Android contiendraient des portes dérobées
Les applications Android sont-elles un nid de portes dérobées ? C’est le sombre constat que révèle une étude académique complète publiée cette semaine, qui a relevé des comportements cachés de type “backdoor” dans plus de 12 700 applications Android. Pour en arriver à ce nombre énorme, des universitaires européens et américains ont développé un outil personnalisé appelé InputScope, qu’ils ont utilisé pour analyser les champs de formulaires de saisie trouvés dans plus de 150 000 applications Android.
Les auteurs de cette étude ont notamment analysé les 100 000 applications installées le plus grand nombre de fois via le Play Store, les 20 000 meilleures applications hébergées sur des boutiques d’applications tierces, et plus de 30 000 applications préinstallées sur des téléphones Samsung. Le constat est sans appel selon eux : « l’évaluation a révélé une situation préoccupante. Nous avons identifié 12 706 applications contenant une variété de portes dérobées telles que des clés d’accès secrètes, des mots de passe administrateur et des commandes secrètes », ont-ils relevé.
Les chercheurs affirment que ces mécanismes de portes dérobées cachées pourraient permettre à des attaquants d’accéder sans autorisation aux comptes des utilisateurs. De plus, si l’attaquant a un accès physique à un appareil et que l’une de ces applications a été installée, il pourrait également accorder aux attaquants l’accès à un téléphone ou leur permettre d’exécuter du code sur l’appareil avec des privilèges élevés (en raison des commandes secrètes cachées présentes dans les champs de saisie de l’application).
Des mécanismes variés
« De tels cas ne sont pas hypothétiques », révèlent les chercheurs à l’origine de cette étude, en citant une liste non exhaustive de cas particuliers. « En examinant manuellement plusieurs applications mobiles, nous avons découvert qu’une application populaire de contrôle à distance (10 millions d’installations) contient un mot de passe principal qui peut déverrouiller l’accès même si le propriétaire du téléphone le verrouille à distance en cas de perte de l’appareil », ont déclaré les chercheurs.
« Pendant ce temps, nous avons également découvert qu’une application populaire de verrouillage d’écran (5 millions d’installations) utilise une clé d’accès pour réinitialiser les mots de passe arbitraires des utilisateurs afin de déverrouiller l’écran et d’entrer dans le système. « De plus, nous avons également découvert qu’une application de diffusion en direct (5 millions d’installations) contient une clé d’accès pour entrer dans son interface d’administrateur, grâce à laquelle un attaquant peut reconfigurer l’application et déverrouiller des fonctionnalités supplémentaires. »
« Enfin, nous avons découvert qu’une application de traduction populaire (un million d’installations) contient une clé secrète permettant de contourner le paiement de services avancés tels que la suppression des publicités affichées dans l’application. Comme le montrent les exemples fournis par l’équipe de recherche, certains problèmes représentent clairement un danger pour la sécurité de l’utilisateur et les données stockées sur l’appareil, tandis que d’autres n’étaient que des œufs de Pâques inoffensifs ou des fonctionnalités de débogage qui ont accidentellement été mises en production.
Plus de 12 000 applications concernées
Au total, les chercheurs ont déclaré avoir trouvé plus de 6 800 applications avec des portes dérobées/fonctions cachées sur le Play Store, plus de 1 000 sur des magasins tiers et près de 4 800 applications préinstallées sur des appareils Samsung. L’équipe de recherche à l’origine de cette étude a déclaré qu’elle avait informé tous les développeurs d’applications où elle avait trouvé un comportement caché ou un mécanisme de type porte dérobée. Cependant, tous les développeurs d’applications n’ont pas répondu.
Par conséquent, certaines des applications citées en exemple dans le livre blanc de l’équipe ont vu leur nom édité pour protéger leurs utilisateurs. Des détails supplémentaires sur cette recherche sont disponibles dans un article de recherche intitulé “Automatic Uncovering of Hidden Behaviors FromInput Validation in Mobile Apps”, publié par des chercheurs de l’Université d’État de l’Ohio, de l’Université de New York et du Centre Helmholtz pour la sécurité de l’information de la CISPA en Allemagne.
Comme l’outil InputScore analysait les champs de saisie dans les applications Android, l’équipe universitaire a également découvert quelles applications utilisaient des filtres de mots indésirables cachés ou des listes noires à motivation politique. Au total, les chercheurs ont déclaré avoir trouvé 4 028 applications Android qui comportaient des listes noires de saisie.
Source : ZDNet.com
