Android : une faille d'identification affecterait 99% des terminaux

Selon des chercheurs allemands

Mise à jour du 19/05/11 de Gordon Fowler

Google n'a pas tardé à réagir après l'annonce d'une faille dans le processus d'identification d'Android à certains services Web utilisant des connections non chiffrées (lire ci-avant).

Un des dangers de cette faille est la possibilité donnée à des tiers d'accéder aux contenus du Calendrier et des contacts du possesseur du smartphone.

Aujourd'hui, Google fait savoir qu'il a résolu le problème en sortant un correctif qui oblige les terminaux sous Android à se connecter à ses services en HTTPS. Dans le cas où ce type de connexion ne sera pas possible, les services resteront inaccessibles.

La société n'a pas donné de précisions supplémentaires sur ce patch, mis à part que les utilisateurs n'auront aucune manipulation à faire et que cette solution sera déployée dans les jours qui viennent. Ce qui laisse supposer que le patch ne devrait pas s'appliquer au système lui-même mais aux serveurs de Google.

Les chercheurs de l'Université d'Ulm avaient également inclus Picassa dans les services touchés par la faille qu'ils ont découverte. Un service sur lequel Google serait également en train de travailler.

Source : Communiqué à la presse

Android : une faille affecterait 99% des terminaux
Selon des chercheurs allemands

Un groupe de chercheurs en sécurité de l'université d'Ulm en Allemagne a découvert une faille de sécurité touchant plus de 99% des terminaux sous Android. Elle peut être utilisée pour voler les informations d'identification des utilisateurs.

Cette faille de sécurité serait due à une mise en œuvre incorrecte du protocole d'authentification ClientLogin dans la version 2.3.3 et antérieures d'Android.

Le protocole ClientLogin est utilisé pour l'authentification par des applications comme Google Contacts, Calendar ou encore Picasa Web Albums. Lorsque l'utilisateur soumet ses informations d'identification, le protocole crée un jeton d'authentification (authToken) qui peut ensuite être utilisé pendant 14 jours pour toute connexion ultérieure à l'un de ses services.

Les chercheurs ont découvert que dans le cas où l'utilisateur est connecté à un réseau WiFi non sécurisé, des pirates pourraient avoir accès aux jetons d'authentification.

Des personnes malveillantes pourraient donc obtenir un accès complet aux données et aux API des services, consulter, modifier ou supprimer des contacts, des plannings, des événements ou tout autres données en rapport avec ces services Web.

Selon les chercheurs, la vulnérabilité n'est pas limitée aux applications Google sur Android, mais également à toutes les applications qui utilisent le protocole ClientLogin avec HTTP plutôt que HTTPS.

Les chercheurs allemands préconisent aux développeurs utilisant ClientLogin sur Android, d'utiliser également le protocole HTTPS en lieu et place de HTTP. Une autre solution consiste à passer par un protocole d'authentification plus sécurisé comme oAuth.

Enfin, ils suggèrent à Google d'améliorer la sécurité sur Android en réduisant par exemple le temps de validité d'un jeton d'authentification ou en rejetant toutes les demandes de connexions ClientLogin HTTP non sécurisées.

Google aurait déjà patché cette faille dans Android 2.3.4 pour les applications Contacts et Calendar (qui utilisent désormais HTTPS).

Picasa Web Albums serait toujours exposé mais Google travaille déjà sur l'élaboration d'un correctif.

Source : Université de Ulm

Voir aussi les cours et tutoriels Android : http://android.developpez.com/cours/