Les applications de millions d’utilisateurs Android ont mis en danger leurs informations
Plus de 4 milliards d’utilisateurs Android sont en danger en raison d’une série d’applications. C’est Microsoft qui a tiré la sonnette d’alarme. La société de Redmond a analysé le comportement d’une série d’applications, toutes vulnérables à une forme d’attaque qui permet aux cybercriminels de prendre le contrôle total du fonctionnement d’une application.
Les résultats de la recherche réalisée par Microsoft mettent l’accent sur une vulnérabilité clé qui affecte un nombre important d’applications, bien qu’une liste de toutes les applications touchées n’ait pas été publiée afin de protéger les utilisateurs. Cependant, l’explorateur de fichiers Xiaomi a été utilisé en exemple.
Microsoft avertit : plus de 4 milliards d’utilisateurs d’Android sont en danger
Avant que toutes les alarmes ne sonnent, Microsoft a informé les développeurs en février de cette vulnérabilité. Les applications qui étaient en danger ne le sont plus, donc vous pouvez être rassuré si elles sont installées sur votre appareil mobile.
Le problème identifié par Microsoft peut être qualifié de vulnérabilité non intentionnelle. Les développeurs de ces applications ne cherchent pas à faire en sorte que les utilisateurs qui les utilisent deviennent victimes d’éventuelles attaques.
En analysant différentes applications, il a été constaté que beaucoup d’entre elles présentaient une sécurité insuffisante lors de la manipulation du nom de fichier fourni par l’application du serveur. En termes techniques, un attaquant utiliserait son propre FileProvider malveillant pour remplacer celui de l’application cliente.
L’impact de cette situation est tel qu’un attaquant pourrait remplacer les fichiers d’une application, permettant ainsi l’exécution de code malveillant à l’intérieur de l’application et entraînant un comportement inapproprié de ladite application.
La solution proposée par Microsoft et mentionnée dans une publication sur Google Developers indique que les développeurs ne doivent pas faire confiance à l’entrée de l’utilisateur. Cela signifie qu’il est préférable de travailler sans ces entrées lors de l’utilisation d’appels au système de fichiers.
Cette solution permet d’éviter le problème découvert par Microsoft, toutes les applications Android qui présentent cette vulnérabilité doivent l’avoir corrigée à l’heure actuelle. Cependant, les utilisateurs doivent disposer des dernières versions des applications car ce sont elles qui intègrent toujours les modifications corrigeant les erreurs et évitant l’exposition de leurs données à tout type d’attaquant.