Passer au contenu

Google Play Store : la sécurité encore remise en cause

Il n’y a pas si longtemps, le Google Play Store atteignait les 25 milliards de téléchargement. Un trafic qui attire les convoitises et il devient important…

Il n’y a pas si longtemps, le Google Play Store atteignait les 25 milliards de téléchargement. Un trafic qui attire les convoitises et il devient important à mesure que le nombre d’applications disponibles augmente de rester vigilant face à un éventuel code malveillant.

Et puisque la tendance est à la “bancarisation” de nos terminaux, il semble pertinent que des chercheurs des universités allemandes d’Hanovre et de Marbourg se penchent sur la fiabilité d’applications populaires.

Sur 13500 applications étudiées, les chercheurs ont détecté 1024 applications (un hasard ?) souffrant d’une faille SSL / TLS les exposant à des attaques de détournement de données plus connues sous le nom de “Man in the Middle” (rien à voir avec les Bee Gees).

Sur ces 1024 applications, les chercheurs sont parvenus à exploiter la faille d’échange de données entre ces applications et leurs serveurs respectifs sur 41 applications “témoins”.

Résultat de l’attaque : des données confidentielles qui contiennent pêle mêle noms, e-mails, contenus des messageries instantanées, données issues des réseaux sociaux, numéros de comptes bancaires, Paypal, horoscope pour les six mois à venir etc…

Pire encore, les applications en question ne sont pas d’obscures fonds d’écran à l’éditeur douteux :

Les chercheurs (qui n’ont pas révélés l’identité des applications concernées) indiquent en effet que le nombre de téléchargement de ces applications varie entre 39,5 et 185 millions.

Puisqu’une bonne nouvelle n’arrive jamais seule, sachez que les solutions antivirus ne sont pas en reste puisque grâce à la faille SSL exploitée par les chercheurs, il est possible de désinstaller à distance un certain nombre d’applications dont… Un antivirus précisément.

L’équipe explique brièvement l’outil qui leur a permit de mettre à l’épreuve la faille à grande échelle :

En manipulant les signatures de virus téléchargées lors de la mise-à-jour automatique d’un antivirus, nous avons pu neutraliser la protection ou même supprimer des applications au choix, y compris l’antivirus lui-même.

Manifestement, le système pro-actif de surveillance des applications publiées sur le Google Play Store semble atteindre ces limites d’autant plus qu’il avait déjà été pointé du doigt récemment.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

31 commentaires
  1. De plus en plus une usine à gaz cet Androïd !!! 😉

    Des virus , des malwares , des chevaux de troies …… google play qui espionne toute tentative d’install tierce , ça va être pire que iOS niveau “fermé ” !!! même le jailbreak me parait meilleurs maintenant !! 🙁

    Et donc l’usine à gaz continu avec antimalware , antivirus …… heureusement il y a 3 cœurs pour s’occuper de ça !!! 😀

  2. Article un peu bancal, ce n’est pas le Google Play Store ou encore Android qui est peu sécurisé, mais le code des applications qui ne sécurise pas les données qu’elles utilisent…

  3. @bruce Heu si si c’est bien le Store que je met en cause au même titre que les applications dont il est question au même titre que les utilisateurs peu concentrés etc…

  4. Ce n’est en aucun cas la faute de Google ; dans ce cas précis, c’est uniquement la faute des développeurs des applications en question. On pourrait voir la même chose sur un autre OS (d’ailleurs, comment ça se fait que les applications iOS sont vérifiées une par une avant d’être publiées sur l’AppStore, mais que des virus arrivent quand même à passer ?).

  5. @Moe : justement, c’est là le souci de ton article et la source de ma critique. La “faille” n’est PAS dans Google Play Store, mais au sein des applications ! Le Store n’y peut rien si Paypal ou Dropbox ne “sécurise” pas le flux de données échangé avec son serveur…

    Si tu n’arrives pas à faire la différence, c’est à se demander en quel honneur tu rédiges de tels articles ! Sans attaques personnelles…

  6. @bruce

    “@Moe : justement, c’est là le souci de ton article et la source de ma critique. La « faille » n’est PAS dans Google Play Store, mais au sein des applications ! ”

    Article : “Et puisque la tendance est à la « bancarisation » de nos terminaux, il semble pertinent que des chercheurs des universités allemandes d’Hanovre et de Marbourg se penchent sur la fiabilité d’applications populaires.”

    “@Moe : nous accuser de mauvaise foi quand tu ne comprends même pas un principe de base de sécurité… :/”

    Principe de base de lecture pour toi ?

  7. Si on reprends l’article source (et pire si je vais sur l’étude d’origine mais bon…) :

    “des négligences dans le code d’applications populaires”

    “Selon eux, 1024 applications, sur 13500 étudiées, ne géreraient pas correctement l’implémentation des fonctionnalités de sécurité type SSL et TLS. Elles seraient ainsi vulnérables aux attaques HDM (homme du milieu).”

    “En clair, les données qui transitent entre l’application et le serveur du service peuvent être interceptées au moment de la transmission.”

    Aucun lien avec le play store, même si Google “pourrait” imposer une sorte de sécurisation, même si cela parait compliqué car les petits développeurs n’en n’auraient pas forcément les moyens.

  8. @Moe : et ce titre “Google Play Store : la sécurité encore remise en cause” ? C’est moi qui me relis mal ou c’est toi qui fermes les yeux ? Un titre “sensationnel” pour vendre du clic ?

  9. @Bruce
    “Il n’y a pas si longtemps, le Google Play Store atteignait les 25 milliards de téléchargement. Un trafic qui attire les convoitises et il devient important à mesure que le nombre d’applications disponibles augmente de rester vigilant face à un éventuel code malveillant.”
    Moe introduit l’article en parlant de Google Play avec son trafic et leurs systeme de proctection des données alors les commentaires lié à l’article juste pour faire parlé de personne, sa va un moment. Si t’es pas content passe ton chemin.

  10. @bloz : “faire parlé de personne” ? Ce qui signifie en français ?

    J’ai rien contre le fond de l’article, c’est une actualité importante à diffuser. Juste la forme qui tends à faire pointer la faute sur le Play Store qui, si il est loin d’être parfait, n’est pas en cause ici.

  11. La vache il veut vraiment pas comprendre le MOE !!! Le problème vient des applis pas du store !! Faut le dire en quelle langue ? C’est pas de la faute de Google si les devs tiers publient du code à 2 sous. Après comme dit plus haut Google “pourrait” obliger un certain degré de sécurité pour ce genre d’appli mais ça l’obligerait à vérifier ces appli à la main, et surtout c’est pas le boulot de Google de dire aux dev tiers comment ils doivent coder…

    C’est incroyable une mauvaise fois pareil.

  12. c’est vraiment bizarre tu explique tres bien dans l’article que c’est dans le code des applications que les failles ont été trouvé pour ensuite conclure que c’est le play store qui pose probleme … cela signifie que google devrait verifié le code de toutes les applications ???

  13. @Bruce
    Il s’agit d’une étude faite pour les applications de Google Play, remarque totalement inutile encore une fois…

  14. Sans être “pro” ou “anti” (je m’en fou royalement j’ai les deux à la maison :P) c’est quoi la finalité de ce sujet? Qu’un paquet d’applications peuvent être détournées ? Que les infos qui circulent sur un mobile peuvent être récupérées ? Et que Google s’en fou ?

  15. @Moe : troller ? Franchement pas du tout, bien au contraire. Je pense d’ailleurs plutôt bien exprimer le pourquoi du comment… C’est plutôt le titre de l’article qui est un appel aux trolls non ?

    Et merci de ne pas censurer les commentaires !

  16. Mais l’Europe ne met pas de certification CE.

    C’est juste au bon entendement des constructeurs, qui en apposant ce signe, indiquent qu’il respectent les recommandations.
    Ils peuvent tout a fait faire un produit non conforme, vu que c’est très peu contrôlé.
    A partir du moment ou ils envoient un dossier, il ont le droit d’afficher le logo, mais vu que c’est la boite qui assure tout …

    Pour revenir a l’exemple, comme décit au dessus, le échanges entre les appas et els serveurs des éditeurs n’est pas du domaine de google ( ni d’apple, ni des autres). C’est entièrement sous la responsabilité de l’éditeur du soft.

  17. @Moe tu te trompes, le titre même de l’actu est “Google Play Store : la sécurité encore remise en cause”. Comment veux-tu qu’un mec qui passe par là ne pense pas que le problème vient du playstore lui même et pas des applications qui sont dessus ?
    Même l’intro de l’article laisse pressentir que la conclusion est que Google peut faire mieux, alors même que google n’y est pour rien.

    C’est pas une question de troll, de mauvaise foi ou de quoi que ce soit, Google n’est pour rien dans la sécurisation des applications. D’ailleurs je suis certain que la majorité de ces mêmes applications sur iOS ou même Windows utilisent le même code et sont donc tout aussi impactées.

    Faire des titres à sensation c’est quand même plus acceptable s’ils représentent le sujet de l’article.

  18. La comparaison avec iOS serait intéressante. En effet, le code de l’application influe énormément sur les possibles ouvertures et donc détournement qu’il pourrait y avoir.
    Apple vérifie certainement les applications, mais je ne pense pas qu’il s’amuse à essayer de détourner la transmission de message iphone -> serveur pour vérifier si le développeur a bien codé.

    Pour moi, ce genre de faille est lié au développement de l’application, et non à un système.

  19. Je suis d’acoord sur le fait qu’il n’y ait pas de lien avec la PlayStore. Un mauvais usage de SSL/TLS par les développeurs d’application a été clairement identifié comme la source de la faille. Exemple: aucune vérification de certificat serveur). Les auteurs de l’article disent d’ailleurs que d’autres applications populaires utilisant SSL/TLS de la bonne manière ne sont pas vulnérables.

    Si un correctif doit être fait en amont, ce ne serait pas dans la PlayStore selon moi mais directement dans l’API. À savoir, imposer une API unique respectant les différentes étapes de SSL/TLS. C’est d’ailleurs l’une des solutions conseillées par les chercheurs

  20. En effet, le problème est bien uniquement au niveau du code de certaines applications et absolument pas au niveau de Google Play Store comme le titre le suggère faussement (on s’attend alors à ce que ce soit les transactions bancaires pour acheter une application qui sont en cause, ce qui n’est pas, soyons prudent, à priori le cas). Mais bon, pour faire du sensationnel de bas étage que ne ferait-on pas ? Par contre, j’aimerais bien que le nom des applications soient diffusées car ce serait alors de salubrité publique et cela rendrait un immense service aux développeurs concernés pour revoir leur code. De même je suis très curieux de connaître le nom de l’antivirus concerné… Mais j’espère que les chercheurs vont contacter les développeurs concernés (enfin certains car vu le nombre concerné, bon courage !) pour les aider à améliorer leur code.

  21. Je suis un peu du même avis que certains, le titre est un appel aux trolls… Un peu comme la récente affaire de l’Amiennois qui a piraté des applications Androïd, dans certains articles, on a pu lire “17000 applications androïd vérollées”.
    C’est vendeur, pour attirer le chaland, et donc, le troll 🙂

  22. Je trouve au contraire que Moe à raison de remettre en cause Google Play. Ils sont responsable de ce qu’ils vendent. Comme quand je vais acheter un jouet dans un supermarché. Je m’attends à ce qu’il ne présente aucun danger, que les matériaux ne soient pas toxique etc. Je ne veux pas avoir besoin de mener un enquête moi-même, d’autant plus que j’en ai pas les compétences. Pareil si j’achete un repas dans un restaurant. Le restaurateur à le devoir de me servir des aliments sains, préparé dans une cuisine propre. C’est pas au client là non plus d’aller faire le ménage ou d’aller choisir les légumes au marché.

    Pour Google Play (et les autres magasins d’applications) c’est pareil. C’est aux propriétaires des ces magasins de s’assurer que ce qu’ils nous vendent est sur et sans danger et non pas au client. Ca n’empêche pas les developpeurs de programmer des applications dangeureuses ou non sécurisé, mais elles ne devraient pas se retrouver dans les rayons des grandes surfaces.

    Et si google n’a pas les resources pour contrôler ce qu’ils vendent, ils n’ont plus cas proposer moins d’applications et de jeux.

  23. éJe trouve au contraire que Moe à raison de remettre en cause Google Play. Ils sont responsable de ce qu’ils vendent. Comme quand je vais acheter un jouet dans un supermarché. Je m’attends à ce qu’il ne présente aucun danger, que les matériaux ne soient pas toxique etc. Je ne veux pas avoir besoin de mener un enquête moi-même, d’autant plus que j’en ai pas les compétences. Pareil si j’achete un repas dans un restaurant. Le restaurateur à le devoir de me servir des aliments sains, préparé dans une cuisine propre. C’est pas au client là non plus d’aller faire le ménage ou d’aller choisir les légumes au marché.

    Pour Google Play (et les autres magasins d’applications) c’est pareil. C’est aux propriétaires des ces magasins de s’assurer que ce qu’ils nous vendent est sur et sans danger et non pas au client. Ca n’empêche pas les developpeurs de programmer des applications dangeureuses ou non sécurisé, mais elles ne devraient pas se retrouver dans les rayons des grandes surfaces.

    Et si google n’a pas les resources pour contrôler ce qu’ils vendent, ils n’ont plus cas proposer moins d’applications et de jeux.”

    1/27, à peu de choses près le ratio national.

  24. “Je trouve au contraire que Moe à raison de remettre en cause Google Play. Ils sont responsable de ce qu’ils vendent. Comme quand je vais acheter un jouet dans un supermarché. Je m’attends à ce qu’il ne présente aucun danger, que les matériaux ne soient pas toxique etc. Je ne veux pas avoir besoin de mener un enquête moi-même, d’autant plus que j’en ai pas les compétences. Pareil si j’achete un repas dans un restaurant. Le restaurateur à le devoir de me servir des aliments sains, préparé dans une cuisine propre. C’est pas au client là non plus d’aller faire le ménage ou d’aller choisir les légumes au marché.”

    Alors là cette mauvaise fois !
    Achète un lot périmé à carrefour ok ils sont responsables, achète un jouet défectueux le magasin ne sera pas responsable, ce sera le fabriquant. C’est pareil pour les Appli et ça doit même surement être mentionné dans la CGU du playstore. Google n’est pas responsable des données qui transitent par des applications vendues dans son store, c’est le développeur. D’ailleurs google n’a jamais accès aux sources des applis qui lui sont soumises et heureusement.

  25. “Heu si si c’est bien le Store que je met en cause” : ah bon, c’est toi qui a fait cette étude, Moe, pour dire que c’est le store que TU remet en cause ?

Les commentaires sont fermés.

Mode