FireEye publie une étude dans laquelle il indique avoir analysé pas moins de 7 millions d'applications mobiles sous Android et iOS. L'éditeur a concentré son attention sur certains des services parmi les plus populaires, en particulier ceux qui affichent plus de 50 000 téléchargements au compteur.
La société précise que nombre de vulnérabilités peuvent être exploitées par des pirates pour collecter des données personnelles ou bancaires, ou bien encore afficher des publicités non-désirées (.pdf). Le champ des possibles est vaste : des applications malveillantes capables de capter des données, au code rédigé de manière insuffisamment sécurisée en passant par l'envoi non-sollicité de SMS ou d'appels.
En ce qui concerne Android, l'éditeur note que des failles ont été découvertes dans plusieurs applications analysées. Ces vulnérabilités permettent de prendre éventuellement contrôle d'un terminal ou créer une augmentation de privilèges. FireEye pointe particulièrement du doigt une méthode permettant à un pirate d'injecter des contenus ou des liens malveillantes par le biais du composant WebView, celui-ci permettant d'afficher du contenu Web.
De son côté, Google a fait le choix de ne plus apporter de correctifs pour les versions antérieures à Android 4.4 fonctionnant avec ce moteur de rendu. Mais pour l'éditeur de sécurité, pas moins de 31% des applications analysées sont encore vulnérables à des attaques par ce biais. Certaines d'entre elles pourraient même permettre de collecter des informations bancaires, médicales ou sur la santé des utilisateurs.
Parmi les autres menaces sur Android, le rapport précise que les adwares touchent à présent 410 000 applications, parmi celles étudiées. Le fait de proposer des publicités dont le but est de collecter les informations des utilisateurs touche particulièrement les applications de divertissement et touchant la vie quotidienne.
Sur iOS, « des menaces rares mais potentiellement sérieuses »
En ce qui concerne les applications sur la boutique d'applications d'Apple, FireEye précise que les vulnérabilités sont peu fréquentes. Toutefois, leur utilisation peut s'avérer dangereuse en particulier pour les entreprises qui utilisent des applications dans un cadre professionnel. L'éditeur met en lumière une « mauvaise utilisation du protocole SSL/TLS » et d'autres méthodes de chiffrement comme des vecteurs contribuant à affaiblir la sécurité d'une application.La société explique que ces applications « EnPublic » sont signées avec le certificat des entreprises mais ne passent pas forcément par le processus de révision d'Apple. Ce type de services peut se servir d'API pour reproduire le comportement d'applications classiques sous iOS. Par ce biais, des attaques peuvent alors être dirigées contre un terminal sur lequel l'application est installée.
FireEye précise que ces applications « EnPublic » ne représentent toutefois qu'une faible partie des vulnérabilités rencontrées sur les mobiles.
A lire également