14.5 C
Paris
24 août 2019
Actu Applications & Soft Sécurité

Sachez que 40% des applications iOS et Android sont vulnérables à Hack

Nous aimons tous télécharger de nouvelles applications, en particulier lorsque quelque chose – un jeu ou toute autre application, comme Faceapp – est sous le feu des projecteurs ou si nos amis en utilisent.

Bien que cela n’ait rien d’inconvénient, chargez autant d’applications que votre PDA le permet, mais est-ce que toutes les applications sont saines et sauves, en particulier en ce qui concerne la sécurité de votre mobile?

Nos téléphones portables sont plus précieux que n’importe quel diamant dans le monde – non pas parce qu’ils sont chers, mais parce qu’ils contiennent toutes nos données les plus sensibles. mon téléphone portable est plus de moi que mon propre moi.  

Que ce soit iPhone ou Android; Le téléchargement d’applications est devenu comme appeler des vulnérabilités.

Oui, vous avez bien entendu! 

Les applications que nous utilisons présentent un risque plus élevé de vulnérabilités qu’on ne le pensait auparavant. Plus du tiers des applications Android et iOS présentent des vulnérabilités à haut risque. Il y a probablement quelques applications qui exposent nos données au monde réel.

S’il ne s’agit que de mon profil d’utilisateur, tout va bien, mais si ces applications intègrent mes données personnelles, je suis désolé, je ne vais pas me laisser aller.

Je pense que personne n’irait mieux si une de leurs applications partageait leurs données personnelles avec qui que ce soit.

Passons rapidement en revue l’étude réalisée.

Dernières vulnérabilités dans les applications mobiles

Avant de me lancer dans des histoires d’horreur, laissez-moi vous partager quelques notions de base sur les applications mobiles.

L’année dernière, plus de 205 milliards d’applications mobiles ont été téléchargées et leur nombre atteindra plus de 250 milliards d’ici 2022, tandis que 57% du temps total consacré aux médias numériques est consacré aux smartphones et aux tablettes.

Vous souvenez-vous de ce que vous avez parcouru hier dans votre PDA?

Il doit s’agir d’une application de messagerie instantanée, de services bancaires en ligne, de gestion de compte mobile, de fonctions professionnelles et / ou de tout compte de réseau social.

Selon Juniper Research, les utilisateurs des applications bancaires mobiles ont atteint deux milliards, soit 40% de la population adulte mondiale.

Nous savons que les développeurs accordent une attention particulière à la conception de logiciels afin de nous offrir une expérience fluide. nous installons volontiers des applications et fournissons également nos informations personnelles, mais nous arrêtons rarement et pensons à leurs implications en matière de sécurité.

Des experts effectuent régulièrement des analyses de sécurité sur différentes applications mobiles (souvent les plus utilisées). Voici certaines des dernières découvertes de leur évaluation de la sécurité des applications iOS et Android.

  • Des vulnérabilités élevées ont été découvertes dans 38% des cas pour iOS et dans 43% des applications Android.
  • La plupart des cas sont dus à des faiblesses dans les mécanismes de sécurité (74% et 57% pour les applications iOS et Android et 42% pour les composants côté serveur); ces vulnérabilités se glissent dans la conception, la réparation ou dans la phase de codage.
  • Le problème le plus courant est le stockage de données non sécurisé – trouvé dans 76% des applications mobiles. Les informations financières, les mots de passe, les données personnelles et la correspondance présentent un risque élevé.
  • Les pirates ont rarement besoin d’un accès physique pour voler des données: 89% des vulnérabilités peuvent être exploitées par des logiciels malveillants.
  • De nombreuses cyber-attaques reposent sur nos inattentions. Les privilèges accrus ou les logiciels chargés de manière latérale les aident à trouver le bon chemin pour une attaque dommageable.

Développeurs ou utilisateurs, les cybermenaces sont également accessibles . cela signifie qu’une protection à la fois côté client et côté serveur est nécessaire pour sécuriser les applications sur iOS et Android.

Alors, que peut-on faire pour prévenir les attaques? Comment protéger les deux bouts?

Eh bien, tout se résume à la sensibilisation, à l’éducation et à certaines mesures préventives.

Protégez votre iOS et Android des cyber-attaques basées sur des applications

Pour votre commodité, je divise cette section en plusieurs parties – destinées aux développeurs Android et iOS et aux utilisateurs.

Pour les développeurs Android

  • Utilisez LocalBroadcastManager pour envoyer et recevoir des messages non destinés à des applications tierces.
  • Si l’application accepte des données sensibles telles que des informations financières ou implémente un clavier personnalisé, assurez-vous que l’application doit être suffisamment sécurisée pour empêcher les attaques manipulant le clavier système.
  • Désactivez l’application pour qu’elle ne soit pas sauvegardée en modifiant «Android: allowBackup» en «faux».

Pour les développeurs iOS

  • Si vous devez utiliser des liens pour l’interaction entre composants, optez pour des liens universels.
  • Pour désactiver les claviers tiers au sein d’une application, implémentez la méthode «shouldAllowExtensionPointIdentifier» dans l’application UIApplicationDelegate de l’application.

Quelques mesures pour les deux plates-formes

  • Les appareils modernes utilisent la biométrie (Touch ou Face ID) dans les applications. Dans ce cas, le code PIN est stocké sur l’appareil. Le stockage local (données sensibles) ne devrait être acceptable que dans des répertoires spéciaux cryptés. iOS a un trousseau et Android a un coffre-fort de clés – Keystore.
  • Utilisez une image d’arrière-plan spéciale pour masquer les données sensibles à l’écran.
  • Mettez fin au concept d’envoi deux fois de mots de passe uniques dans les SMS et les notifications push utilisent plutôt la méthode de livraison du mot de passe qui doit être sélectionnée par l’utilisateur.
  • TRACE peut également être utilisé pour contourner la protection des cookies à l’aide de l’indicateur httpOnly et désactiver le traitement des demandes TRACE.
  • Les tentatives d’authentification doivent être limitées, tant sur le serveur que sur le client.
  • Filtrez les données saisies par l’utilisateur sur le serveur. Utilisez le codage HTML pour traiter les caractères spéciaux.
  • La durée de la session devrait être limitée. L’identifiant de session supposé être effacé à la fois du côté client et du côté serveur. Le serveur doit créer une nouvelle session à chaque fois que l’authentification est requise.
  • Pour sécuriser la communication client-serveur, les experts recommandent l’épinglage de certificat – il est directement intégré au code de l’application. En conséquence, l’application devient indépendante du magasin de certificats du système d’exploitation. Cela arrête les attaques MITM.

Quelques recommandations pour les utilisateurs

  • Ne faites pas confiance aux magasins d’applications tiers; logiciels suspects (comme des versions «fissurées» ou gratuites d’applications commerciales); ils sont souvent porteurs de code malveillant.
  • Ne connectez pas votre appareil à des stations de charge ou à des ordinateurs non fiables. Les versions modernes du système d’exploitation mobile demandant à l’utilisateur de confirmer la confiance. Ne confirmez jamais la confiance si vous n’êtes pas sûr de la sécurité du système auquel vous vous connectez.
  • N’ouvrez pas de liens provenant d’expéditeurs inconnus dans les messages et les discussions. Même si vous connaissez la personne qui vous suggère une application, soyez vigilant.
  • N’acceptez jamais les demandes d’installation de logiciels tiers sur votre smartphone préféré.
  • Mettez à jour votre système d’exploitation et vos applications dès que vous en recevez. Si votre appareil est enraciné ou jailbreaké, il se peut qu’il ne se mette pas à jour automatiquement.
  • Évitez l’élévation des privilèges; n’oubliez pas, rooter ou jailbreaker un périphérique désactive les mécanismes de protection et ouvre l’accès au système de fichiers du périphérique.
  • Votre code PIN doit être aléatoire (essayez une phrase, pas un mot). N’utilisez pas la date de naissance, le numéro de téléphone ou le numéro d’identification; Il vaut mieux utiliser la biométrie (empreinte digitale, vocale ou faciale) si votre appareil le prend en charge.
  • Soyez vigilant lorsque les applications demandent un accès trop large ou des données. Si les autorisations demandées semblent déraisonnables, ne les accordez pas.

Quelques plats à emporter

Les pirates adorent cibler les nouvelles plateformes – les appareils mobiles sont le foyer actuel, qui regorge d’informations personnelles et de cartes de paiement.

Les résultats de l’étude montrent clairement que les développeurs d’applications mobiles négligent souvent la sécurité, le stockage de données non sécurisé étant le problème principal.

D’un autre côté, les utilisateurs eux-mêmes contribuent aussi involontairement à compromettre leurs appareils en étendant les capacités de leur smartphone, en ouvrant des liens suspects, en désactivant la protection et en téléchargeant des logiciels à partir de plateformes non officielles.

La sécurisation des données utilisateur requiert une attitude responsable de la part des développeurs d’applications et des propriétaires d’appareils.

Related posts

Intelligence artificielle : 1 Français sur 4 préfère l’IA à Emmanuel Macron

chrn0s

Les humains ne sont pas conçus pour être heureux – alors arrêtez d’essayer de trouver le bonheur

mr robot

Les applications de blocage d’appels automatiques partagent nos données personnelles

mr robot

Laissez un commentaire

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désabonner si vous le souhaitez. Accepté Lire la suite

Politique de confidentialité et cookies