Les applications Android Edge, Teams ou encore Grindr présentent encore à l’heure actuelle une faille de sécurité pour laquelle un patch correctif a pourtant été publié en mars dernier. Une analyse de la boutique d’applications de Google a permis à Check Point, une société spécialisée en cybersécurité, de repérer qu’environ 8% des applications du Play Store n’avaient pas intégré le patch correctif de Google. Depuis près de 9 mois, ces applications présentent donc une vulnérabilité révélée par les chercheurs d’Oversecured et corrigée par la firme de Mountain View. La brèche se situe au niveau des précédentes versions du Play Core, une bibliothèque Java fournie par Google que l’on retrouve dans de très nombreuses applications. Si un appareil contenant l’une de ces applications est infecté par un malware, celui-ci pourrait très bien exploiter cette faille majeure pour injecter du code malveillant dans d’autres applications et voler des données sensibles telles que des photos, mais aussi des mots de passe. Or, malgré la publication de la découverte des chercheurs d’Oversecured et le patch correctif de Google, de nombreux développeurs d’applications n’ont toujours pas mis à jour la bibliothèque Play Core intégrée à leurs créations. Ces dernières sont donc toujours vulnérables à l’heure actuelle. Selon l’analyse de Check Point réalisé en septembre dernier, 13 % des applications du Play Store utilisaient cette bibliothèque, mais seulement 5% d’entre elles exploitaient la version corrigée. On peut notamment citer Facebook, Instagram, Snapchat encore Chrome. Parmi les 8% de mauvais élèves, on retrouve des applications populaires telles que Microsoft Edge, Teams, Grindr, Viber ou encore Booking.com. Suite à leur enquête, les chercheurs de Check point ont pris contact avec les développeurs de ces applications vulnérables. Malheureusement, seules Viber et Booking.com ont bénéficié de la mise à jour de la bibliothèque Play Core. S’il est important de garder ses applications à jour, l’étude de Check Point démontre que le problème ne vient pas toujours des utilisateurs, mais qu’il peut – parfois – venir des développeurs eux-mêmes.