Des composants vulnérables dans le top 10 des applis de paris sportifs

Le Cybersecurity Research Center (CyRC) de Synopsys a publié, le 7 février 2023, un rapport sur la sécurité des 10 applis de paris sportifs les plus téléchargées sur le Google Play. Les chercheurs ont étudié pour cela les composants open source utilisés – 125 en moyenne par application.

Via une analyse Black Duck® Binary Analysis (BDBA), le CyRC a identifié, en moyenne, 10 composants vulnérables et 179 vulnérabilités par application. Synopsys attribue une majorité de ces failles à l’obsolescence des composants utilisés : certains dataient de 2010, sans mise à jour.

Le CyRC a comparé ces chiffres à ceux d’un rapport de 2021, « Peril in a Pandemic« , portant sur 3 335 applications Android populaires. 63 % de ces applis utilisaient des composants vulnérables, pour 39 vulnérabilités en moyenne par appli. Les chiffres montent à 100 % et 179 vulnérabilités pour les applications de paris sportifs. Cette spécificité est d’autant plus problématique que ces applications font transiter des sommes d’argent et constituent des cibles de choix pour les cybercriminels.

Les chercheurs rappellent toutefois qu’une vulnérabilité dans un composant open source n’est pas forcément exposée dans l’application. Le CyRC ne peut donc pas affirmer qu’un assaillant peut exploiter une de ces failles. Pour autant, ces faiblesses restent facteur de risque et sont la preuve d’un manque de vigilance chez les développeurs.

« Le risque augmente avec l’âge des composants et le nombre de vulnérabilités connues. En outre, les composants obsolètes indiquent que les équipes de développement ne gèrent pas leurs dépendances open source, ce qui pourrait indiquer qu’elles ne gèrent pas bien la sécurité en général », lit-on dans le rapport.