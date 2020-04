Selon NetMarketShare, 71 des cent smartphones utilisés dans le monde au cours du dernier mois de mars utilisent Android. Son plus proche rival, iOS, en comptait 28. En d’autres termes, la position d’avantage du système d’exploitation de Google pour les appareils, c’est tout simplement écrasant. C’est, bien sûr, une grande joie pour l’entreprise technologique, mais cela a aussi une conséquence logique et un peu moins agréable: être soumis à un examen minutieux, qui révèle parfois des données qui ne sont pas exactement favorables.

Tel est le cas du rapport publié par des chercheurs de l’Ohio State University, de l’Université de New York et du Helmholtz Center for Information Security CISPA. Nous parlons d’un document qui prouve que près de 8,5% des applications Android les plus populaires ont une porte dérobée qui permet, dans certaines conditions et circonstances, aux développeurs (ou à des tiers qui découvrent comment le faire) d’obtenir un accès non autorisé par ses utilisateurs à eux.

Pour effectuer les tests, les chercheurs ont utilisé un outil appelé INPUTSCOPE, dont la fonction principale est d’analyser le comportement des applications lorsque du texte y est saisi et validé. Le tout dans le but d’identifier des actions “anormales”, c’est-à-dire qui, du moins en principe, ne correspondent pas au comportement que l’on pourrait en attendre.

En ce qui concerne les applications testées, il est incontestable que les auteurs de l’étude ont été assez ambitieux, puisque plus de 150 000 demandes Android, y compris 100 000 meilleures applications Google Play, les 20 000 meilleures applications d’un magasin alternatif et 30 000 applications préinstallées extraites du micrologiciel des smartphones Samsung. Et c’est la première conclusion que nous avons trouvée en lisant l’étude:

Bien que ces applications disposent de fonctionnalités riches et utiles qui sont exposées publiquement aux utilisateurs finaux, elles contiennent également des comportements cachés qui ne sont pas divulgués, tels que des portes dérobées et des listes noires conçues pour bloquer le contenu indésirable. Nous avons constaté que la validation des entrées dans les applications mobiles peut être utilisée pour exposer les secrets déclenchés par ces entrées, comme les portes dérobées et les secrets de la liste noire, et que la fonctionnalité cachée dépendante des entrées est répandue dans les applications Android. »

Vous vous demandez sûrement en ce moment les résultats, non? Les experts ont détecté 12 706 demandes (8,47%) qui contiennent du type de porte de derrière (Clés d’accès secrètes, mots de passe principaux et commandes secrètes qui donnent accès aux fonctionnalités aux administrateurs uniquement) et 4028 applications (2,69%) qui incluent des listes noires secrètes, qui bloqueraient le contenu si vous incluez des mots clés spécifiques soumis à la censure pour une raison quelconque.

La validation des entrées, en principe, tout ce que vous auriez à faire est vérifier que le contenu saisi par l’utilisateur correspond sous certaines conditions. Cependant, la saisie de texte est l’outil le plus courant pour interagir avec une application (à la fois sur Android et sur d’autres plates-formes), il est donc courant de l’utiliser pour accéder à des fonctions spécifiques (telles que les fonctions d’administration cachées, par exemple). ). Le problème n’est pas tant que cela fonctionne comme ça, mais plutôt le manque de transparence envers les utilisateurs.

Et c’est que, vu le vu, il est très probable que certaines des applications que vous utilisez au quotidien, et auxquelles vous faites confiance pour certaines tâches, aient une porte d’accès arrière. Et cela nous amène à un débat qui dure depuis des années dans la communauté: Est-il logique que les développeurs utilisent ce type de fonctionnalités? Il y a deux arguments contre: le premier est le manque d’informations à son sujet à l’utilisateur, qui n’est pas au courant de son existence.

Mais il y a un problème encore pire: même si le développeur n’a pas l’intention d’utiliser la porte dérobée de manière malveillante, que se passe-t-il si un cybercriminel, de quelque manière que ce soit, prend conscience de son existence? Et si vous pouviez trouver comment l’utiliser? Une clé squelette est un outil aussi puissant que dangereux. À tel point que, à de nombreuses reprises, surtout lorsque vous ne disposez pas de tous les moyens nécessaires pour le protéger correctement, il vaut mieux ne pas exister.