Si Apple passe en revue le contenu des applications publiées au sein de son App Store, plusieurs d'entre elles ne seraient pas pour autant sécurisées. C'est en tout ce que rapporte le cabinet de recherche Cybernews.
On ne parle pas ici de chevaux de Troie, ni de spywares, ni de malwares en tout en genre, mais du code des applications elles-mêmes. Une bonne partie d'entre elles dévoilerait plusieurs informations sensibles directement au sein de leur code.
8% de l'App Store passé au crible
L'équipe de Cybernews explique avoir passé au crible quelque 156 080 applications et dénombré pas moins de 815 000 informations sensibles. Mais de quoi parlons-nous exactement : des clés d'API, des mots de passe ou des clés de chiffrement. Les développeurs ne prendraient pas la peine de les retirer. Cet échantillon, datant d'octobre 2024, représenterait 8% de l'ensemble des applications publiées au sein de l'App Store d'Apple.
Aras Nazarovas, chercheur en sécurité affirme :
“De nombreuses personnes pensent que les applications iOS sont plus sécurisées et moins susceptibles de contenir des logiciels malveillants. Cependant, nos recherches montrent que de nombreuses applications de l’écosystème contiennent des informations d’identification codées en dur facilement accessibles. Nous avons suivi le sentier et trouvé des bases de données ouvertes avec des données personnelles et une infrastructure accessible.”
Les chercheurs de Cybernews expliquent qu'ils n'ont pas pris la peine de décompiler ces applications. Ces informations sensibles étaient le plus souvent disponibles en clair directement au sein des archives IPA.
Une mine d'informations à portée de main
Sans doute plus inquiétant, les analystes ont pu observer 83 000 points de synchronisation de données en ligne, 836 d'entre eux ne nécessitant aucune information de connexion et permettant alors d'extraire quelque 406 To de données avec 76 milliards de fichiers.
Des clés privées d'interface de programmation ont également été trouvées permettant à n'importe quel développeur tiers de les utiliser. Cela concerne 79 000 projets basés sur le Cloud de Google, mais aussi 79 000 identifiants Google Apps permettant aux propriétaires de gérer leurs statistiques de publicité et d'usage. Cybernews a également décelé 43 000 identifiants pour Google AdMob, 37 000 pour Facebook App ou 20 000 concernant Android Client.
Si la plupart de ces informations ne permettent pas d'obtenir des accès non autorisés, les clés API de Google, en revanche, doivent être mieux protégées, selon ces chercheurs. La firme californienne explique que ces dernières peuvent être exploitées pour initier une authentification aux services de Google.
Source : Cybernews
