Une partie des téléphones professionnels sont enrôlés dans une flotte mobile. Cela permet à l’entreprise d’appliquer un durcissement sur le téléphone afin de réduire le risque de contamination par un malware. De plus, les applications destinées à un usage professionnel ont un besoin d’interactions plus important que celles destinées au grand public. Ce contexte métier complexe associé à un environnement durci peut amener l’équipe de développement à une baisse de vigilance lors de la conception de l’application, provoquant une exposition trop permissive d’un composant Android. Or, le durcissement n’est pas toujours sans faille. Paradoxalement, l’intrusion par un malware pourrait avoir un impact plus important pour l’entreprise que si les applications avaient été développées pour le grand public. Cet article détaille une exploitation possible quand un service est exposé à toutes les applications du téléphone.
Les applications Android sont constituées de plusieurs composants. Chaque composant correspond à une fonctionnalité. Au sein d’un téléphone enrôlé dans un contexte professionnel, deux applications pourraient avoir besoin d’interagir ensemble que ce soit pour s’échanger des données ou modifier leurs états. Pour cela, l’une d’entre elles devra exposer un de ses composants. Si cette exposition est permissive, une application malveillante déjà présente sur le téléphone pourrait accéder à des données sensibles ou modifier l’état de l’application vulnérable.
1. Le contexte métier et technique
1.1 L'enrôlement dans une flotte mobile : bénéfices et limites
Les téléphones professionnels des salariés peuvent être une cible pour un attaquant. En effet, en plus de contenir plusieurs données fonctionnelles sensibles, ils peuvent être une porte d’entrée vers le Système d’Information (SI) de l’entreprise. De plus, l’usage à titre personnel de ces téléphones…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première