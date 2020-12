Un certain nombre d’applications populaires, y compris les applications de rencontres OKCupid et Grindr, l’application de voyage Bumble, l’application de commerce électronique Indiamart et les applications Microsoft Edge et Teams sur le Google Play Store, se sont avérées avoir présenté une vulnérabilité clé qui aurait pu permettre aux pirates d’avoir volé vos données bancaires et même contourné l’authentification à deux facteurs sur votre téléphone. Révélé dans son blog de recherche sur la sécurité le 3 décembre par les chercheurs de Check Point Aviran Hazum et Jonathan Shimonovich, le rapport révèle la faille en tant que vulnérabilité connue, enregistrée sous le numéro CVE-2020-8913. Cela affecte la bibliothèque principale de Google Play, qui est utilisée par un grand nombre d’applications plutôt populaires telles que Google Chrome, Facebook, Instagram, etc. Ce qui est alarmant à noter, c’est que Google avait déjà publié un correctif pour la vulnérabilité en avril 2020. Cependant, malgré le correctif de sécurité initial de Google, les failles sont apparemment restées et, dans l’intervalle, ont affecté un grand nombre d’applications plutôt populaires sur le Google Play Store.

La source de la faille était la bibliothèque d’exécution de Google Play Core, qui contrôlait l’interaction d’une application avec les serveurs de Google Play Store pour un grand nombre de raisons. Ces raisons peuvent être le téléchargement de ressources supplémentaires requises par une application, l’envoi de mises à jour et les mises à jour intégrées à l’application et l’enregistrement de révisions dans l’application. La vulnérabilité en question réside dans l’architecture de la façon dont la bibliothèque principale de Google Play communique avec une application – alors que Google utilise généralement une zone sûre, en bac à sable ou isolée de l’application en question pour relayer les mises à jour vérifiées, il existe également une zone isolée distincte dans le cadre de code de l’application où des services tiers lui relaient des informations. Avec cette vulnérabilité, les attaquants pourraient puiser dans le bac à sable de code officiel et l’utiliser pour injecter du code malveillant dans le cadre d’une application légitime et populaire.

Comme le rapporte Check Point, cette capacité à injecter du code infecté dans une application légitime pourrait permettre aux pirates d’ajouter des logiciels malveillants à n’importe quel smartphone. Cela aurait ensuite pu être utilisé pour détourner les informations d’identification bancaires, lire des messages SMS pour infiltrer l’authentification à deux facteurs, interrompre la messagerie d’entreprise cryptée et les applications de stockage de fichiers pour accéder à des documents sensibles, suivre l’emplacement du smartphone et les applications de médias sociaux, et même envoyer des messages au nom du propriétaire du téléphone, réalisant ainsi une potentielle inflitration de bout en bout d’un utilisateur.

Bien que Check Point souligne que cette vulnérabilité plutôt critique a régulièrement obtenu des correctifs de sécurité autonomes de chacune des applications exposées à la faille, il n’est pas tout à fait clair combien d’autres applications de ce type restent vulnérables à cela. Comme meilleure mesure de précaution possible, les utilisateurs sont toujours invités à mettre à jour leurs applications au plus tôt, à ne pas télécharger plus d’applications que ce qui est nécessaire et, si possible, à isoler toutes les tâches sensibles bancaires, financières et professionnelles sur un smartphone séparé.