Plusieurs chercheurs des universités de Hanovre et Marbourg, en Allemagne, ont publié les résultats d’une étude inquiétante sur la sécurité des applications Android.
Intitulée « Why Eve and Mallory Love Android : An Analysis of Android SSL (in)Security », l’étude révèle que 8% des applications proposées sur le Google Play présenteraient des failles SSL, les rendant vulnérables aux vols de données.
En se basant sur 13 500 applications gratuites du Google Play, ils ont relevés 1 047 applications, soit 8%, contenant « des codes SSL spécifiques acceptant l’ensemble des certificats et des serveurs via un seul certificat », ce qui fragilise la protection des protocoles SSL et TSL.
Les failles détectées permettraient aux pirates de récupérer les données transitant entre le smartphone et les serveurs associés aux applications. Ce procédé se fait en toute discrétion, l’utilisateur n’a pas conscience du phénomène jusqu’au jour où les pirates commencent à les exploiter.
Si les chercheurs ne citent pas les applications concernées, ils informent toutefois qu’une « très populaire plateforme de service de messagerie » comporte une vulnérabilité qui permet la récupération de numéros de téléphones enregistrés dans le carnet d’adresses, par exemple.
L’étude se termine par la conclusion suivante : environ 185 millions d’utilisateurs d’applications issues de Google Play ne sont pas à l’abri d’un vol de données.