Zimperium, spécialisé dans les solutions de défense contre les menaces visant les appareils mobiles et les applications, révèle que des milliers d’applications Android, y compris parmi les plus téléchargées, continuent d’embarquer une bibliothèque cartographique abandonnée depuis 2023. Un angle mort qui expose à la fois les utilisateurs… et les entreprises, via les appareils personnels des employés.
Une bibliothèque cartographique abandonnée, mais encore largement diffusée
Dans son rapport, Zimperium s’arrête sur un composant que les utilisateurs ne verront jamais, mais dont la présence dans leurs applications pourrait leur coûter cher : libmapbox-gl.so. Une bibliothèque qui aurait dû disparaître depuis longtemps. « Cette bibliothèque, connue pour être obsolète depuis 2023, reste intégrée dans des milliers d’applications actives », explique l’éditeur.
Derrière cette survivance étonnante se cache une particularité technique : libmapbox-gl.so embarque une version statique de SQLite datant de 2018. Une version « riddled with critical vulnerabilities », comme le rappelle Zimperium dans l’executive summary.
La liste des failles fait effet de déjà-vu : dépassements de mémoire, corruption de données, risques d’exécution de code. L’équipe de recherche évoque même une « time bomb » logicielle, plantée dans des apps populaires de voyage, de météo ou de transport. Zimperium note que « 40 % des applications concernées figurent dans le top 20 de leur catégorie sur le Play Store ». Autrement dit : les apps que tout le monde installe sans réfléchir. Même si aucune exploitation active n’est constatée, la surface d’attaque théorique reste significative.
Un risque sous-estimé pour les entreprises en environnement BYOD
Le vrai sujet, pour les entreprises, est ailleurs : sur les smartphones des collaborateurs. Dans les environnements BYOD, des applications perçues comme anodines — météo du matin, suivi de vol, réservation d’hôtel — se retrouvent en position de mettre en danger tout un système d’information.
« Ces vulnérabilités font des applications du quotidien des vecteurs d’attaque potentiels », rappelle Nico Chiaraviglio, Chief Scientist chez Zimperium. L’éditeur détaille un scénario désormais bien connu : une application vulnérable, un fichier malveillant, une mémoire corrompue… et la possibilité d’exfiltrer des données sensibles stockées sur l’appareil.
Zimperium insiste sur le rôle des dépendances logicielles oubliées, enterrées dans des SDK vieillissants et rarement auditées. La migration vers les versions modernes, Mapbox Maps SDK v10+ ou MapLibre, a été jugée trop coûteuse ou trop complexe par nombre de développeurs. Résultat : les failles persistent. Les appareils aussi.
Google, sollicité dans le cadre de l’App Defense Alliance, temporise : « à ce jour, il n’y a aucune preuve que la bibliothèque ait été activement exploitée ». Mais rappelle au passage que « les développeurs sont responsables de maintenir la sécurité de leurs applications ».
Le message est clair : les ponts sont indiqués comme effondrés sur la carte, mais beaucoup continuent de les emprunter.
