À l’approche de la coupe du monde, les applications mobiles permettant de suivre l’actualité footballistique ont le vent en poupe. Parmi les multiples fonctionnalités qu’elles proposent, on retrouve le suivi des matchs, l’accès aux classements de ses équipes favorites, la création d’un compte connecté aux réseaux sociaux, etc. À première vue, rien d’alarmant.
Mais pourtant, en examinant les applications* permettant de ne rater aucune miette de l’un des évènements sportifs les plus suivis dans le monde, les chercheurs de Pradeo ont décelé une tendance inquiétante : la majorité d’entre elles sont hautement intrusives et qui plus est vulnérables. On retrouve en tête de liste, l’application Eurosport, téléchargée plus de 10 millions de fois.
Voici les principaux éléments qui ressortent de l'analyse de l'application Android Eurosport (disponible sur Google Play) réalisée par le moteur Pradeo Security :
Il est important de noter que la collecte des données citées dans cet article est stipulée dans la politique de confidentialité de l’application Eurosport, mais que celle-ci n’est à aucun moment mise en avant. Les utilisateurs ont-ils réellement conscience du caractère intrusif de l’application et de ses failles de sécurité, porte ouverte à une divulgation massive de leurs données ?
L’application Eurosport collecte et envoie des informations concernant le terminal des utilisateurs ainsi que leurs préférences vers 14 serveurs en moyenne. La majorité de ces serveurs proviennent de 8 librairies publicitaires intégrées à l’application qui ont pour objectif de récolter un maximum de données concernant les usagers. En s’intégrant à un maximum d’applications, les sociétés de marketing éditant ces librairies établissent des profils très précis des utilisateurs, basés sur leurs habitudes, leurs déplacements et leurs opinions.
Le moteur de Pradeo a détecté 63 vulnérabilités dans l’application Eurosport, dont 11 sont référencées par la communauté OWASP. Ce faisant, l’application expose les données qu’elles manipulent à de potentielles fuites ainsi qu’à des attaques de type Man-in-the-Middle et par déni de service (DoS).
Bien que les réglementations sur la protection des données soient actuellement renforcées, cette observation met en évidence une nouvelle zone d’ombre : les usagers ne peuvent raisonnablement pas assimiler la multitude de politiques de confidentialité liée à leurs usages mobiles. Pour les chercheurs de Pradeo, la protection de la vie privée des utilisateurs ne peut se régler uniquement par la loi. Elle nécessitera des solutions de protection mobiles qui aideront les utilisateurs à reprendre le contrôle sur les données qu’ils accepteront de partager ou non.
*Etude réalisée sur un échantillon de 250 applications présentes sur Google Play et l’App store.
FICHE D’IDENTITE
Nom de l’application : Eurosport
SHA1 : 2b1415f4eca49a58acb00e411457b187c5591521
Package : com.eurosport
Version: 5.12.2
DONNEES DIVULGUEES
Données du téléphone
- Informations du réseau téléphonique: nom de l'opérateur, type de réseau (3G, 4G…)
- Informations du terminal: Constructeur, nom du modèle, niveau de batterie, statut de la batterie, version du système d'exploitation...
Données de l'application
- Préférences des applications
- Fichiers de l'application (données compilées dans l'application)
VULNERABILITES
Broadcast-Provider : Cette vulnérabilité se manifeste quand le composant "Provider" de l'application n'a pas un niveau de protection assez élevé. Cela peut permettre à toutes applications tierces d'accéder à des données sensibles partagées par le composant, conduisant à une fuite de données.
Broadcast-Activity : Cette vulnérabilité se manifeste quand le composant "Activity" de l'application n'a pas un niveau de protection assez élevé. Cela peut permettre aux applications tierces de contourner certaines mesures de sécurité afin d’accéder à des données sensibles.
Broadcast-Service : Cette vulnérabilité se manifeste quand le composant "Service" de l'application n'a pas un niveau de protection assez élevé. Cela peut permettre aux applications tierces de lancer ou de se lier au service.
Broadcast-Receiver : Cela a pour effet de permettre à toute application tierce d’envoyer des messages à l'application. Cette faille peut être exploitée pour compromettre l'application, en la détournant de sa tâche première pour la faire exécuter un certain nombre d'actions.
URLCanonicalisation : L'échec de mise en forme canonique d'une URL reçue par l'application peut amener à une attaque de type « vulnérabilité transversale » de répertoire qui peut entraîner la divulgation de données sensibles ou la corruption malveillante de données.
Log : Une application tierce pourra exécuter une commande qui lui permet de récupérer les logs contenant des informations potentiellement sensibles.
Implicit-Intent : Toutes les informations diffusées via cette méthode sont susceptibles d'être interceptées par une application tierce.
X.509TrustManager : Cette vulnérabilité correspond à l’implémentation non sécurisée de l'interface X509TrustManager qui ignore toutes les erreurs de validation du certificat SSL lors de l'établissement d'une connexion en HTTPS à un hôte distant.
Clipboard : Le fait de faire transiter des données potentiellement sensibles dans le presse-papier permet à des applications tierces d'y avoir accès. Cela peut entraîner une fuite de données.
Widget : Faire transiter des données potentiellement sensibles dans ce composant permet à des applications tierces d'y avoir accès.
PotentiallyByPassSslConnection : Implémentation non sécurisée contournant la validation du certificat SSL lors de l'établissement d'une connexion en HTTPS à un hôte distant, ce qui a pour effet de rendre l'application vulnérable à une attaque de type Man-in-the-Middle.