Selon un nouveau rapport, dix des applications de paris sportifs Android les plus populaires exposent potentiellement leurs utilisateurs à une gamme de dangers liés à la cybersécurité.
En analysant les 10 meilleures applications, qui totalisent plus de 21 millions de téléchargements, les chercheurs de Synopsys ont découvert que les applications avaient en moyenne 125 composants, dont 10 sont généralement vulnérables. En moyenne, chaque application a 179 vulnérabilités.
Ces vulnérabilités sont liées à l’utilisation de dépendances open source, affirment en outre les chercheurs. Alors que toutes les applications sont activement travaillées, certaines utilisent des composants open source aussi vieux que 12 ans. « Dans le monde du logiciel, deux ou trois ans, c’est long », ont ajouté les chercheurs.
Augmentation des risques
Bien que les vulnérabilités connues des composants open source ne soient pas nécessairement exposées dans l’application, les chercheurs ont ajouté que plus le composant est ancien, plus le risque est élevé. De plus, l’utilisation de composants obsolètes signifie que les développeurs ne gèrent pas correctement leurs dépendances, ce qui signifie « qu’ils ne gèrent pas bien la sécurité en général ».
Pour aggraver les choses, les choses semblent se détériorer pour les applications de sport et de paris. Dans l’analyse de l’année dernière, qui comprenait 3 335 applications, 63 % avaient des composants vulnérables, contre 100 % aujourd’hui, tandis que le nombre moyen de vulnérabilités par application était de 39 (contre 179 aujourd’hui).
Tout cela étant dit, les chercheurs n’ont toujours pas voulu déclarer sans équivoque que les applications ne sont pas sûres à utiliser. « C’est comme demander à une équipe d’ingénieurs mécaniciens d’examiner le système de train d’atterrissage d’un avion et d’affirmer qu’il est sécuritaire d’être un passager dans cet avion », disent-ils.
L’analyse de la composition logicielle (SCA), comme cela a été fait ici, « n’est qu’une partie importante d’un cycle de vie de développement logiciel sécurisé. En utilisant un processus qui inclut la sécurité (s’ouvre dans un nouvel onglet) à chaque étape, les développeurs peuvent créer des logiciels résilients, sécurisés et minimisant les risques pour leur propre organisation et leurs clients », ont conclu les chercheurs.