Une évaluation complète des applications mobiles disponibles sur Google Play et l’Apple App Store a révélé la présence de identifiants de service cloud non cryptés et codés en dur, mettant des millions d’utilisateurs en danger de violations de sécurité significatives. Les ingénieurs logiciels Yuanjing Guo et Tommy Dong, de l’équipe de la technologie de sécurité et de réponse de Symantec, pointent du doigt des pratiques de codage médiocres comme la source de ce problème.
Selon eux, laisser des identifiants dans le code laisse la porte ouverte à quiconque ayant la capacité d’accéder au code source de l’application ou au binaire pour atteindre l’infrastructure backend – pouvant potentiellement conduire à des fuites de données utilisateur. Ils affirment : « Ce type de pratique met l’infrastructure fondamentale en danger d’attaques, mettant en péril les données des utilisateurs et les services backend. »
Les conclusions de Symantec soulignent que ce problème n’est pas spécifique à une plateforme ; car il infecte à la fois les plateformes Android et iOS. Cela ne fait qu’amplifier la nécessité d’une transition rapide vers des pratiques de développement axées sur la sécurité. Bien que Symantec ait identifié un certain nombre d’applications contenant de telles vulnérabilités, il pourrait potentiellement y avoir plus d’applications là-bas mettant en danger les informations des utilisateurs à leur insu.
Pour aider à limiter les conséquences de ces erreurs de développement, il est conseillé aux utilisateurs d’adopter un système de sécurité tiers. Symantec suggère d’utiliser leur système de sécurité conçu à cet effet. Des mesures supplémentaires peuvent inclure l’examen des permissions demandées par chaque application et l’installation uniquement d’applications provenant de sources de confiance. En prenant ces précautions et en poussant pour un engagement plus fort envers les pratiques de codage sécurisé, les développeurs d’applications mobiles et les utilisateurs peuvent conjointement freiner les retombées négatives de ces vulnérabilités.