SOURCE: 01net.com Enquêtez sur votre futur lieu de villégiature en vous aidant des réseaux sociaux et autres outils en ligne avant de réserver vos vacances....
Lire la suite
Le code source de milliers d’applications Android du Play Store cache des informations sensibles. Une fois collectées par les pirates, ces données mettent en danger la sécurité des développeurs et des utilisateurs.
Les chercheurs en sécurité de CyberNews ont découvert que des milliers d’applications Android cachent des « hard coded secrets » dans leur code source. Il peut s’agir de noms d’utilisateur, de mots de passe, de clés API ou d’autres informations importantes du code source. Ces informations d’identification permettent aux développeurs d’échanger des données avec leurs pairs en interne.
Malheureusement, cette pratique met en danger la confidentialité des informations. Une fois glissés dans le code, les « hard coded secrets » peuvent se retrouver à la merci des pirates. Ils mettent donc en péril la sécurité de l’application.
« Coder en dur des données sensibles du côté client d’une application Android est une mauvaise idée. Dans la plupart des cas, elles sont facilement accessibles grâce à la rétro-ingénierie », déclare Vincentas Baubonis, chercheur chez CyberNews.
La rétro-ingénierie, aussi appelée ingénierie inversée, consiste à analyser un programme informatique pour décortiquer son fonctionnement interne. Dans le cadre d’une application, les attaquants fouillent dans le code source par le biais de l’APK (Android Package Kit).
Les secrets du code source des applications Android
CyberNews a analysé le code de 33 334 applications Android du Play Store. Verdict : 18 647 des apps étudiées cachent des informations sensibles, dont des clés d’API, dans leur code source. 17 767 clés API Google étaient visibles. Les chercheurs ont aussi découvert des liens vers des bases de données ouvertes à n’importe quel visiteur.
Par exemple, plus de 14 000 adresses URL relayant vers des bases de données Firebase ont été repérées. Ces bases de données contiennent des informations sensibles sur l’application et sur ses utilisateurs. Plus de 600 liens redirigeaient vers des bases en accès public.
CyberNews a aussi découvert des liens relayant vers Google Cloud Storage, le service de stockage de fichiers en ligne. Enfin, des données relatives à Facebook ont été trouvées. Elles pourraient théoriquement permettre de lancer une attaque DDOS sur l’application par le biais de comptes Facebook. Sans surprise, tous les experts en sécurité recommandent de ne jamais inclure d’informations confidentielles dans le code source d’un logiciel.
Insécurité sur le Play Store
Pendant leur enquête, les chercheurs ont identifié un défaut dans les mesures de sécurité de Google. Apparemment, le Play Store néglige parfois de mettre en garde les utilisateurs de la présence d’un logiciel malveillant.
« Sur plus de 33 000 applications, les chercheurs n’ont pas pu télécharger 44 applications depuis Google Drive, même s’ils n’ont eu aucun problème à les télécharger directement depuis le Play Store », s’étonne CyberNews.
Il semblerait qu’une faille laisse les utilisateurs installer des applications malveillantes sur leur smartphone ou leur tablette. Pour les chercheurs, « il est probable que de nombreuses autres applications malveillantes puissent être téléchargées » sans mise en garde.
Il n’est pas rare qu’un logiciel malveillant parvienne à pénétrer sur le Play Store à l’insu de Google. Récemment, 35 applications Android infectées par un malware ont été découvertes sur la boutique.
Source : CyberNews
Comment utiliser le nouveau Dropbox ?
SOURCE: 01net.com Comment utiliser le nouveau Dropbox ? Le service de sauvegarde en ligne de fichiers revoit son interface et se transforme son espace de travail...
Lire la suite
Comment libérer de l’espace sur votre iPhone ?
SOURCE: 01net.com Faites le grand ménage sur votre iPhone et récupérez de l’espace en supprimant plusieurs gigaoctets de données inutiles. Les années passent et, malgré...
Lire la suite
Spotify exploite enfin le partage d’écran sur l’iPad
SOURCE: 01net.com Spotify a (enfin) mis à jour son application iPad. Le service de streaming audio peut désormais être utilisé en multitâche depuis la tablette...
Lire la suite
FaceApp, créée en Russie, inquiète les hauts responsables démocrates américains
SOURCE: ici.radio-canada.ca L’application développée en Russie FaceApp, actuellement au cœur d'une frénésie sur les réseaux sociaux, inquiète de nombreux politiciens démocrates à Washington, qui redoutent...
Lire la suite
Comment protéger les mots de passe stockés dans Chrome et Firefox
SOURCE: 01net.com Sécurisez les mots de passe stockés dans votre navigateur Web en configurant un mot de passe maître. Par facilité, un grand nombre d’internautes...
Lire la suite
La révolution Amazon fête ses 25 ans
SOURCE: ici.radio-canada.ca Le 5 juillet 1994, Amazon voyait le jour dans un garage de Seattle. Depuis, l’entreprise de vente en ligne de livres s’est transformée...
Lire la suite
L’inventeur du mot de passe informatique est mort
SOURCE: ici.radio-canada.ca Fernando Corbató, un pionnier de l’informatique, est mort à 93 ans, vendredi, des suites de complications liées au diabète. M. Corbató serait le premier...
Lire la suite
Windows 10 : Alexa pourra bientôt être activé depuis l’écran de verrouillage
SOURCE: 01net.com La prochaine mise à jour de Windows 10 offrira la possibilité aux assistants vocaux de tierce partie d'être appelés même si votre PC...
Lire la suite
Pourquoi il ne faut jamais faire confiance aux hotspots Wi-Fi
SOURCE: 01net.com Se connecter sur un point d’accès Wi-Fi inconnu présente des risques, même si l’on surfe sur des sites sécurisés en HTTPS. La situation...
Lire la suite
Les réseaux sociaux et la télévision amplifient la dépression des adolescents (mais pas les jeux vidéo)
SOURCE: 01net.com Une étude canadienne démontre que ce sont les réseaux sociaux et la télévision qui sont responsables de l'amplification de la dépression chez les...
Lire la suite
Neuralink : Elon Musk prêt à brancher un cerveau sur un ordinateur
SOURCE: 01net.com Neuralink veut tester son dispositif sur des humains dès 2020. - Neuralink La start-up Neuralink a déjà testé son dispositif sur des animaux...
Lire la suite
