Android : des milliers d'applications fragilisent la protection de millions d'utilisateurs
Une nouvelle alerte secoue l’écosystème Android. Zimperium, le spécialiste mondial de la sécurité mobile, révèle que des milliers d’applications, parmi les plus utilisées dans les domaines du voyage, du transport aérien ou encore de la météo, reposent toujours sur une bibliothèque de cartographie abandonnée depuis deux ans. Malgré son obsolescence, ce composant continue d’être intégré au cœur d’applications grand public et professionnelles, exposant potentiellement des millions d'appareils à des risques de compromission.
L’étude, baptisée « Follow the Map to Enterprise Risk: What’s Inside Popular Android Apps », met en lumière la persistance de libmapbox-gl.so, une ancienne brique technologique de Mapbox GL Native, retirée en 2023 mais toujours embarquée dans des versions actives de nombreuses apps Android. Ce composant repose sur un code jugé ancien, contenant plusieurs failles déjà connues et documentées.
Des risques invisibles pour les utilisateurs et les entreprises
Selon les analystes de zLabs, cette bibliothèque obsolète pourrait, si elle était exploitée, permettre à des attaquants d’ouvrir une brèche dans le fonctionnement de l’application, de perturber l’appareil, d’intercepter des données ou de contourner certains mécanismes de sécurité. Les chercheurs précisent qu’aucune exploitation active n’a été observée à ce jour, mais soulignent que la simple présence d’un composant vulnérable constitue un risque majeur en matière de cybersécurité mobile.
Le danger est d'autant plus préoccupant que ces applications ne sont pas uniquement installées sur des smartphones personnels. De nombreux employés les utilisent dans un cadre professionnel, parfois dans le cadre de dispositifs BYOD. Ce mélange entre usages privés et environnements métiers multiplie les points d’entrée potentiels pour des cyberattaques susceptible d'affecter l’entreprise entière.
Un problème étendu aux applications les plus populaires
L’étude révèle que le phénomène est loin d’être marginal. Une part significative des applications intégrant la bibliothèque vulnérable figure dans le haut du classement du Google Play Store. Près de 40 % d’entre elles se situent dans le top 20 de leur catégorie, ce qui leur assure une visibilité et une adoption massive. Leur popularité amplifie mathématiquement l’étendue des risques.
Des apps liées au voyage, aux cartes de vol, aux trajets quotidiens ou aux prévisions météorologiques sont particulièrement concernées. Des services que des millions d’utilisateurs considèrent comme fiables et essentiels à leur mobilité quotidienne pourraient, en réalité, devenir des vecteurs d’attaque involontaires.
Zimperium et Google mobilisés pour assainir l’écosystème
Zimperium rappelle travailler en étroite collaboration avec Google dans le cadre de l’App Defense Alliance (ADA), une initiative visant à renforcer la sécurité des applications Android. L’entreprise encourage aujourd’hui les développeurs à retirer définitivement le SDK Mapbox GL Native archivé, en le remplaçant par des alternatives maintenues et sécurisées, comme Mapbox Maps SDK v10+ ou MapLibre.
L’objectif : éliminer les composants dormants qui pourraient être activés par des attaquants dans un second temps. « Lorsque des applications fiables intègrent des composants obsolètes, des angles morts apparaissent et fragilisent à la fois les utilisateurs et les entreprises », explique Nico Chiaraviglio, Chief Scientist chez Zimperium. Il rappelle que la mission de son équipe consiste à révéler ces risques invisibles afin de protéger un écosystème mobile devenu central dans l’activité économique.
Un appel urgent à la responsabilité des développeurs
Si la menace n’a pas encore été exploitée, elle repose sur un socle technique suffisamment fragile pour inquiéter les experts. L’étude se conclut par une recommandation explicite : les développeurs doivent auditer de toute urgence leurs applications pour vérifier la présence de libmapbox-gl.so et migrer vers des solutions modernes.
L’épisode rappelle une vérité trop souvent négligée : dans un environnement mobile en perpétuel mouvement, l’obsolescence d’un composant peut devenir un risque de sécurité majeur, même lorsque l’application semble parfaitement fonctionnelle. À l’heure où les smartphones servent d’interface à des usages personnels, professionnels et financiers, laisser un module abandonné en sommeil n’est tout simplement plus une option.
~~~~~~~~
A lire aussi
- ClayRat : le nouveau spyware Android qui se propage comme un virus social
- Pixnapping : une faille Android permettrait de lire tout ce qui s'affiche sur votre smartphone
- Google serre la vis sur Android : Google va imposer une vérification obligatoire à tous les développeurs dès 2026
~~~~~~~~