Déjà plus de trois mois depuis que les failles de sécurité ont été découvertes dans une application téléchargée plus d’un milliard de fois.
Il s’agit de l’application SHAREit, une application mobile qui permet aux utilisateurs de partager des fichiers avec leurs amis ou entre plusieurs appareils personnels. Celle-ci pose problème avec sa version Android.
Echo Duan, analyste des menaces mobiles pour la société de cybersécurité Trend Micro, explique dans un rapport que les vulnérabilités découvertes pourraient être exploitées par des cyberattaquants pour exécuter du code malveillant sur les smartphones où l’application SHAREit est installée.
Une application succeptible aux attaques
L’absence de restrictions appropriées sur qui peut accéder au code de l’application, est la cause profonde de ces failles de sécurité.
D’après Echo Duan, des cyberattaquants pourraient, au moyen d’applications malveillantes installées sur l’appareil d’un utilisateurs, ou d’une attaque réseau de type « man-in-the-middle », envoyer des commandes malveillantes à l’application SHAREit pour détourner ses fonctionnalités légitimes et ainsi exécuter du code personnalisé, par exemple pour écraser les fichiers locaux de l’application ou installer des applications tierces à l’insu de l’utilisateur.
En outre, l’application est également vulnérable aux attaques dites « man-in-the-disk ». Ce type de vulnérabilités, décrit pour la première fois par Check Point en 2018, concerne le stockage non sécurisé de ressources applicatives sensibles dans un endroit de l’espace de stockage du téléphone partagé avec d’autres applications – d’où elles peuvent être supprimées, modifiées ou remplacées par des cyberattaquants.
Un développeur aux abonnés absents
« Nous avons signalé ces failles de sécurité au fournisseur, mais il n’a pas encore réagi », commentait Echo Duan ce lundi. « Nous avons donc décidé de divulguer nos recherches, alors que cela fait trois mois que nous avons signalé cette situation, car de nombreux utilisateurs pourraient être touchés par cette attaque, et un attaquant pourrait voler des données sensibles », ajoute-t-il, tout en notant que toute attaque serait également difficile à détecter du point de vue d’un défenseur. Contacté par e-mail, SHAREit n’avait pas répondu à notre demande de commentaires lorsque cet article était publié.
Echo Duan ajoute également avoir fait part de ses conclusions à Google, sans pour autant préciser quelle a été la réponse du propriétaire du Play Store.
Sur son site web, SHAREit affirme que son application est utilisées par 1,8 milliard d’individus dans plus de 200 pays du monde entier. Par ailleurs, les failles de sécurité ne concernent pas la version iOS de l’application, qui fonctionne sur une base de code différente.