Une équipe d’IBM Sécurity X-Force Research a découvert une sérieuse vulnérabilité qui affecte les applications Android construite sur la plateforme Apache Cordova. Cette vulnérabilité concernerait 5,8 % des applications Android.

Apache_Cordova_Logo

Une application bancaire sur dix

Et si certaines applications sensibles étaient exposées ? Sans basculer dans un alarmisme basique, des chercheurs d’IBM Security X-Force ont en tout cas mis le doigt sur une faille de sécurité qui compromet certaines applications Android. Ou plus exactement, certaines applications web encapsulées dans des applications natives. Concernant environ 6 % des applications, cette vulnérabilité touche la plateforme Apache Cordova. Les chercheurs ont fait des recherches sur les applications bancaires, les plus sensibles évidemment, et ont constatés qu’environ 10 % d’entres-elles sont justement construites sur Cordova.
Apache Cordova, c’est quoi ? Apache Cordova ou plus anciennement Apache Callback ou PhoneGap, est un framework open source développé par la Fondation Apache. Il permet de créer des applications mobiles pour différentes plateformes : Android, iOS, Windows Phone et Tizen pour les plus connues. Les langages utilisés pour développer des applications Cordova sont le HTML, le CSS et le JavaScript.

Un patch est déjà disponible

Un constat valable au moins pour les applications anglophones puisque la recherche est basée sur le mot Bank. En tout cas, une application bancaire sur dix peut être concernée par le problème, alors qu’elles contiennent des informations très précieuses. Les utilisateurs ne sont alors pas à l’abri d’un vol de leurs identifiants, qui permettrait ensuite d’effectuer des opérations sur les comptes en banque concernés. Heureusement, des solutions ont déjà été apportées par les équipes de Cordova, avec le déploiement d’un patch à l’attention des développeurs. Portant le numéro de version 3.5.1, il corrigera cette faille de sécurité.