Apparition d’une faille de sécurité dans une application Android comptant plus d’un milliard d’utilisateurs
La fameuse application de partage de fichiers entre les appareils d’utilisateurs (plus d’un milliards de personnes) appelée SHAREit serait touchée par une importante faille n’ayant encore pas reçu de correctif. En effet, cette application téléchargée plus d’un milliard de fois présenterait des failles de sécurité découvertes il y a plus de trois mois. L’application en question est la version Android de SHAREit.
Un analyste des menaces mobiles pour la société de cybersécurité Trend Micro, Echo Duan, a expliqué dans un rapport que les failles découvertes risqueraient d’être exploitées par des pirates informatiques pour l’exécution du code malveillant sur les smartphones où l’application SHAREit est installée. La principale cause de ces bugs de sécurité consiste en l’absence de restrictions appropriées sur qui peut avoir accès au code de l’application. D’après l’analyste, des pirates pourraient, via d’applications malveillantes installées sur l’appareil d’un utilisateur, ou encore via une attaque réseau de type « man-in-the-middle », envoyer des commandes malveillantes à l’application SHAREit afin de détourner ses fonctionnalités légitimes et de ce fait exécuter un code personnalisé, notamment pour écraser les fichiers locaux de l’application ou installer d’autres applications à l’insu de l’utilisateur.
L’application reste aussi vulnérable aux attaques appelées « man-in-the-disk ». Ce sont des failles qui concernent le stockage non sécurisé des ressources applicatives sensibles dans un endroit de l’espace de stockage du téléphone partagé avec d’autres applications, pouvant être supprimées, modifiées ou même remplacées par les pirates. Echo Duan a aussi précisé avoir partagé ses conclusions avec Google, sans déclaré leur réponse. SHAREit a affirmé sur son site web que son application est utilisée par 1.8 milliard d’individus dans plus de 200 pays à l’échelle mondiale. D’ailleurs, ces bugs de sécurité ne concernent pas la version iOS de l’application, car fonctionnant sur une base de code différente.