À l’occasion du Mobile World Congress de Barcelone, ESET a inauguré Android App Watch, un nouvel outil de veille sous la forme d’un blog destiné à traquer les applications Android vulnérables.
« Les applications Android mal développées, qui mettent en péril les informations personnelles ou bancaires de leurs utilisateurs, sont un problème de plus en plus courant. Pourtant, ces applications ne peuvent être qualifiées de « malware » à proprement parler et ne peuvent donc être bloquées par les outils de sécurité. Toutefois ces applications présentent malgré tout un véritable danger pour leurs utilisateurs », explique Lukáš Štefanko, le chercheur ESET responsable du projet.
De telles applications, bien que non malveillantes par nature, peuvent par exemple mal protéger les communications avec leur serveur (absence de chiffrement), laisser fuir des informations confidentielles, utiliser des mécanismes de protection dépassés et autoriser un attaquant à exécuter, à travers elles, du code sur le téléphone de la victime, voire permettre des injections SQL.
En définitive, les applications vulnérables sont très difficiles à protéger et peuvent présenter un risque équivalent aux applications malveillantes. Un sondage informel organisé par Lukáš Štefanko sur Twitter a démontré que la majorité des utilisateurs sont parfaitement au courant du risque. Sur 3200 participants, 78% estiment que les utilisateurs de mobiles devraient plus se préoccuper des applications mal développées que des malwares.
Puisque ces applications mal développées ne peuvent être bloquées par les solutions de sécurité, il incombe donc aux utilisateurs de se protéger. Mais, malheureusement, il est difficile pour ces derniers de distinguer une application fiable d’une autre, moins sûre. Chaque application étant unique, il est en effet difficile de définir des critères uniques pour distinguer leur dangerosité respective.
Ce qui peut aider, en revanche, est un sain scepticisme de la part des utilisateurs, basé sur une bonne compréhension de la manière dont ces applications sont développées, de leur business model et de l’état général de l’écosystème applicatif Android.
Et c’est là précisément le rôle du blog Android App Watch : offrir aux utilisateurs les moyens de faire les bons choix à propos de leurs applications Android. Mais au-delà de simplement alerter au sujet des mauvaises applications et des mauvaises pratiques, le blog a également pour objectif d’aider les développeurs à produire de meilleures applications.
« Avant de mettre en garde les utilisateurs contre une application vulnérable, nous contactons son développeur et lui fournissons des conseils afin de lui permettre de corriger son application. Nous attendons alors qu’il publie un correctif, et évaluons ce dernier pour voir s’il corrige le problème », poursuit Lukáš Štefanko.
Le blog ESET Android App Watch est disponible à l’adresse https://androidappwatch.eset.com/
CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr