Partagez-le<\/p>\n
L’application Android populaire ShareIt est-elle<\/a> install\u00e9e sur votre t\u00e9l\u00e9phone\u00a0? Vous devriez le d\u00e9sinstaller d\u00e8s que possible. Plus t\u00f4t si possible. Selon les chercheurs de Trend Micro<\/a>, ShareIt souffre de nombreuses failles fatales qui pourraient permettre aux pirates d’ex\u00e9cuter du code sur votre appareil, d’installer des applications malveillantes, etc. Et apr\u00e8s trois mois, ShareIt a choisi de ne rien faire pour r\u00e9soudre le probl\u00e8me.<\/p>\n Selon Trend Micro, les vuln\u00e9rabilit\u00e9s permettraient aux acteurs malveillants de "divulguer les donn\u00e9es sensibles d’un utilisateur et d’ex\u00e9cuter du code arbitraire avec les autorisations ShareIt". ShareIt est livr\u00e9 avec des exigences d’autorisations \u00e9tendues car il s’agit d’une application "tout en un".<\/p>\n Comme son nom l’indique, il a commenc\u00e9 sa vie en tant qu’application de partage, qui n\u00e9cessite d\u00e9j\u00e0 de nombreux besoins d’autorisations. Mais l’application a explos\u00e9, et maintenant c’est une application gif, un lecteur vid\u00e9o, un chercheur de chansons, un magasin de jeux, un magasin de films, et plus encore.\u00a0<\/p>\n ShareIt peut demander l’acc\u00e8s \u00e0 la cam\u00e9ra, au microphone, \u00e0 l’emplacement, \u00e0 l’ensemble du stockage de l’utilisateur et \u00e0 tous les m\u00e9dias. Mais alors qu’il demande toutes ces autorisations, il ne met pas en place les restrictions appropri\u00e9es qu’Android appelle pour \u00e9viter les abus.<\/p>\n Le probl\u00e8me vient de la fa\u00e7on dont les d\u00e9veloppeurs ont activ\u00e9 les autorisations de stockage externe. Si les d\u00e9veloppeurs suivent les directives appropri\u00e9es, tout ira bien. Mais ignorez-les, comme l’ont fait les d\u00e9veloppeurs de ShareIt, et vous laisserez vos utilisateurs vuln\u00e9rables \u00e0 une attaque \u00abman-in-the-disk \u00bb.<\/a><\/p>\n Les fichiers d’installation des applications doivent \u00eatre envoy\u00e9s vers un stockage prot\u00e9g\u00e9 pour les garder en s\u00e9curit\u00e9 pendant la p\u00e9riode d’installation critique. Si le d\u00e9veloppeur stocke ces fichiers dans un stockage public \u00e0 la place, un acteur malveillant peut intercepter les fichiers d’installation, les remplacer par de nouvelles versions et essentiellement mettre \u00e0 niveau une application vers une application malveillante. La m\u00eame chose s’est produite avec le programme d’installation Fortnite d’Epic en 2018.<\/p>\n Si cela ne suffit pas, la boutique de jeux de ShareIt t\u00e9l\u00e9charge les donn\u00e9es de l’application via des connexions r\u00e9seau non s\u00e9curis\u00e9es (HTTP), ce qui laisse l’application ouverte aux attaques de l’homme du milieu<\/a>. Avec le bon savoir-faire, un acteur malveillant peut mettre \u00e0 jour ShareIt vers une version malveillante, voler vos donn\u00e9es utilisateur, ou les deux.<\/p>\n Trend Micro dit avoir inform\u00e9 les d\u00e9veloppeurs de ShareIt il y a trois mois des probl\u00e8mes et n’avoir jamais eu de r\u00e9ponse. Esp\u00e9rons que toute la mauvaise publicit\u00e9 aidera \u00e0 changer le cours, mais en attendant, vous feriez mieux de d\u00e9sinstaller ShareIt, du moins pour le moment.<\/p>\n