Lorsque les gens utilisent des applications Android, ce qui se passe en arrière-plan ne leur vient généralement pas à l'esprit. Malheureusement, une option de programmation appelée chargement de code dynamique peut présenter des risques de sécurité. Voici ce que vous devez savoir à ce sujet.

Qu'est-ce que le chargement dynamique de code ?

Dans le développement d'applications, l'intégralité du code source utilisé lors de la création d'une application constitue la base de code. Le chargement de code dynamique permet à une application d'extraire du contenu au-delà de sa base de code et de l'exécuter pendant le fonctionnement ou l'exécution.

Cette option peut réduire la taille de l'application, car une pratique courante consiste à stocker le code à distance au lieu de l'intégrer dans le Kit de package Android (APK).

L'APK est le format de fichier utilisé par Android lors de la distribution et de l'installation d'applications. Il contient tous les composants pour qu'une application fonctionne sur un appareil compatible. Le chargement de code dynamique apporte des avantages du point de vue du développement, y compris certains qui améliorent la convivialité de l'application.

instagram viewer

Par exemple, une application peut afficher un contenu différent à une personne selon qu'elle utilise la version gratuite ou premium. Le chargement dynamique du code peut afficher le contenu correct en fonction du niveau de l'utilisateur sans augmenter la taille de l'APK.

De plus, le chargement dynamique du code permet aux développeurs de publier de nouvelles versions d'applications contenant des modifications mineures. Les utilisateurs obtiennent les dernières versions sans rien télécharger.

Malgré ces avantages, le chargement de code dynamique peut augmenter les risques liés à la sécurité des applications Android.

Les applications malveillantes comportent souvent un chargement de code dynamique

Les auteurs d'un document de recherche de 2019 ont examiné les applications Android malveillantes pour trouver leurs points communs. Ils ont cité des recherches antérieures réalisées par d'autres parties qui ont montré que le chargement de code dynamique était l'une des principales caractéristiques des applications dangereuses.

Près de 20 000 des 86 798 applications dans une enquête avait un chargement de code dynamique.

Une clarification supplémentaire a indiqué que les gens placent les fonctionnalités de base d'une application dangereuse dans des bibliothèques indépendantes, puis utilisent le chargement de code dynamique pour l'exécuter. Cette approche protège le comportement malveillant de l'application, la rendant moins détectable.

La documentation de Google sur les types de logiciels malveillants qu'il détecte clarifie même que l'utilisation abusive de code dynamique pourrait être signalée comme une variété de porte dérobée. L'entreprise définit les logiciels malveillants de porte dérobée comme l'exécution d'actions potentiellement dangereuses et contrôlées à distance sur un appareil. Il a ensuite donné un exemple de chargement de code dynamique permettant à une application d'extraire des messages texte.

Cependant, Google dit qu'il examine si l'exécution du code effectue explicitement un comportement malveillant. Sinon, la société traite l'exécution de code arbitraire comme une vulnérabilité à corriger par un développeur.

Dans les cas d'applications dangereuses, l'exécution de code arbitraire permet à un pirate informatique d'exécuter des commandes à distance sur un appareil ciblé.

Des chercheurs identifient un problème de chargement de code dynamique

Google prend fréquemment des mesures décisives pour accroître la sécurité des utilisateurs. Par exemple, les cookies tiers suivent les utilisateurs, enregistrent leurs informations et les utilisent plus tard pour leur montrer des publicités ciblées. Cependant, la société va bloquer les cookies tiers sur le navigateur Chrome d'ici 2022. Il n'a pas donné de date précise pour le changement.

Cependant, se concentrer sur la sécurité ne libère pas une entreprise de problèmes. Les chercheurs en cybersécurité ont découvert une exécution de code arbitraire persistante dans le Application Google et l'a signalé à l'entreprise. Le problème a été résolu en mai 2021, mais il a incité davantage de personnes à prêter attention aux problèmes potentiels associés au chargement dynamique du code.

Les chercheurs ont confirmé que la vulnérabilité permettrait à un attaquant de ne lancer une application qu'une seule fois avant de voler les données Google d'une personne. Un pirate informatique pourrait exploiter la faille de l'application Google pour extraire une bibliothèque de codes d'une application dangereuse sur l'appareil d'une personne.

À partir de là, le cybercriminel pourrait accéder à presque toutes les données Google d'une personne, y compris ses e-mails. Ils pourraient même activer le microphone, la caméra et les informations de localisation en temps réel de l'utilisateur.

Faites attention aux avertissements concernant les vulnérabilités dangereuses des applications

Étant donné que le chargement dynamique du code se produit à la fin du développement, un utilisateur moyen d'une application ne peut rien faire pour vérifier si une certaine offre peut présenter des dangers cachés liés à son fonctionnement dans le Contexte. Cependant, il est sage de garder un œil sur tout Sécurité des applications Android des nouvelles qui font la une des journaux.

Les chercheurs en cybersécurité recherchent en permanence les problèmes qui pourraient mettre en danger des centaines de milliers d'utilisateurs d'applications, puis en font rapport. Rester conscient des dangers potentiels des applications aidera les utilisateurs à décider si et quand mettre à jour ou supprimer une application potentiellement problématique.

E-mail
10 applications Android populaires que vous ne devriez PAS installer

Ces applications Android sont extrêmement populaires, mais elles compromettent également votre sécurité et votre confidentialité. Si vous les avez installés, vous voudrez les désinstaller après avoir lu ceci.

Lire la suite

Rubriques connexes
  • La technologie expliquée
  • Android
  • Sécurité
  • Sécurité des smartphones
  • Logiciels malveillants
A propos de l'auteur
Shannon Flynn (4 articles publiés)

Shannon est une créatrice de contenu située à Philly, PA. Elle écrit dans le domaine de la technologie depuis environ 5 ans après avoir obtenu un diplôme en informatique. Shannon est la rédactrice en chef du magazine ReHack et couvre des sujets tels que la cybersécurité, les jeux et la technologie commerciale.

Plus de Shannon Flynn

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Un pas de plus…!

Veuillez confirmer votre adresse e-mail dans l'e-mail que nous venons de vous envoyer.

.