En 2017, Android a connu un pic historique de vulnérabilités, 2018 a été l'année des cryptographes mobiles et le premier semestre de 2019 a apporté de graves vulnérabilités dans les bibliothèques et les applications qui ont rendu possible l'installation de logiciels malveillants dans les smartphones. Dans cette publication, nous vous mettons à jour sur l'état de la sécurité mobile, en passant en revue les développements qui ont eu lieu au cours du second semestre de 2019 et en résumant les statistiques finales de ce qui vient de se terminer.
La sécurité d'Android en 2019
Il ne fait aucun doute qu'Android est le système d'exploitation mobile le plus utilisé au monde, représentant actuellement 76 % du marché. Aujourd'hui encore, la fragmentation due aux différentes versions actives du système se poursuit : 90 % des appareils mobiles Android utilisent des versions pré-pieds, tandis que 61 % n'exécutent même pas Oreo. Ce plus grand nombre d'utilisateurs - ou de victimes potentielles - et la variété de l'écosystème sont en partie ce qui fait de la plateforme la cible idéale pour les cybercriminels. Il n'est donc pas surprenant que les détections de codes malveillants sur Android représentent 99 % de tous les logiciels malveillants pour mobiles.
En 2019, les détections de logiciels malveillants pour Android étaient concentrées dans le monde entier en Russie (15,2 %), en Iran (14,7 %) et en Ukraine (7,5 %). Le premier pays d'Amérique latine à figurer dans le classement international est le Mexique (3 %), à la septième place, suivi du Pérou (2 %), à la quatorzième place. Si l'on ne considère que les détections dans les pays d'Amérique latine, en 2019, les pays où le nombre de détections était le plus élevé étaient le Mexique (25 %), le Pérou (15 %) et le Brésil (15 %).
Pour Android, 514 failles de sécurité ont été publiées en 2019, ce qui représente une diminution de 16 % par rapport au nombre total de vulnérabilités signalées pour cette plateforme en 2018, lorsque le nombre de CVE a atteint 613 failles publiées. En outre, le pourcentage de vulnérabilités graves dont la criticité est égale ou supérieure à sept a également diminué, constituant 14 % du total (une diminution de 70 % depuis l'année dernière). De tous les bogues, 22 % permettraient à un attaquant d'exécuter du code.
En particulier, certaines vulnérabilités ont éclipsé l'actualité. L'un d'entre eux était StrandHogg : une faille qui permet aux logiciels malveillants, préalablement installés sur un ordinateur, d'intercepter le processus de démarrage d'applications légitimes et donc d'afficher des fenêtres malveillantes lorsque l'utilisateur touche l'icône de l'application pour l'ouvrir. Différents échantillons de codes malveillants ont été trouvés exploitant ce comportement.
Une autre faille, appelée Bad Binder, a été découverte ces derniers mois. Cette vulnérabilité de la mémoire dans le Binder du noyau Android permet une escalade des privilèges locaux, ce qui peut signifier la perte totale du contrôle du terminal pour un attaquant. On pense que l'exploitation de cette faille est déjà signalée aux cybercriminels.
La bonne nouvelle est que le nombre de détections de logiciels malveillants a diminué de 9 % par rapport à 2018, peut-être en raison des efforts déployés par Google et les chercheurs en sécurité pour détecter les menaces et empêcher leur propagation. Malheureusement, cela ne signifie pas que les menaces dans Google Play soient moins fréquentes; au contraire, il y a de plus en plus de cas de chevaux de Troie déguisés en applications bénignes qui parviennent à passer les contrôles de sécurité de Google.
En fait, les chercheurs de l'ESET ont récemment découvert une campagne active de logiciels publicitaires dans Google Play et ont suivi son opérateur, dont les applications ont été installées huit millions de fois avant d'être supprimées. De plus, en août dernier, l'ESET a analysé un logiciel malveillant camouflé dans une application radio qui avait la particularité d'être la première à être construite à partir de l'outil d'espionnage open source AhMyth.
Ces découvertes et d'autres de chevaux de Troie malveillants ont été reconnues par Google, qui a finalement formé une alliance avec les laboratoires de l'ESET pour unir ses forces dans la lutte contre la cybercriminalité dans les magasins d'applications officiels. Il s'agit de l'App Defense Alliance, qui est entrée en vigueur en novembre dernier.
La sécurité et l'iOS en 2019
Selon les statistiques de statcounter, iOS représente 22 % des appareils mobiles utilisés dans le monde, devenant ainsi le deuxième système d'exploitation mobile le plus utilisé.
En 2019, parmi les vulnérabilités qui mettent en danger les utilisateurs d'iOS, on peut rappeler le déploiement de versions qui ont accidentellement réouvert des bogues précédemment corrigés et qui ont permis la génération d'un jailbreak pour la version 12.4. Un autre exemple était le bogue dans l'application iMessage qui permettait à un attaquant de lire des fichiers à partir du téléphone compromis.
Les détections de logiciels malveillants pour iOS ont augmenté de 98 % par rapport à 2018, et ont presque triplé le nombre de détections que nous avions observées en 2017, avec une augmentation de 158 %. Le nombre de nouvelles variantes de logiciels malveillants reste très faible, ce qui indique que nous voyons probablement des échos de logiciels malveillants connus.
En ce qui concerne la répartition géographique de ces détections, nous constatons qu'elles se concentrent principalement en Chine (44 %), aux États-Unis (11 %) et en Inde (5 %). À cet égard, nous n'avons pas constaté de changements par rapport à ce que nous avions vu au milieu de l'année.
Si l'on se concentre sur ce qui se passe au niveau régional et que l'on écarte le reste des détections, on constate qu'en 2019, les pays d'Amérique latine ayant le plus de détections de logiciels malveillants pour iOS étaient le Mexique (22 %), le Pérou (18 %) et le Chili (15 %).
Depuis le laboratoire d'ESET Amérique latine, nous vous rappelons qu'aucune plateforme n'est invulnérable. Malheureusement, la protection de nos données est un travail difficile qui n'a pas de repos et les cybercriminels n'ont qu'une seule fois pour prendre le contrôle de nos informations. Par conséquent, quel que soit le système d'exploitation que vous utilisez, évaluez toujours la probabilité d'être compromis dans différents scénarios et acquérez à l'avance les outils et les habitudes de sécurité qui vous permettront de prévenir tout incident informatique.