Android : des chercheurs s'apprêtent à publier un framework modulaire d'exploit
De nouvelles sources de menace à l'horizon

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Sur le même sujet
Le , par tarikbenmerar, Chroniqueur Actualités
Une nouvelle source de menace pour l'OS Android se profile. Deux experts en sécurité affirment qu'ils publieront le mois prochain un nouveau framework open source modulaire appelé AFE (Android Framework for Exploitation).

Cet outil permettra à toute personne bien intentionnée (ou pas du tout !) de créer et de personnaliser son application Android malveillante. Adity Gupta et Subho Halder sont les deux créateurs derrière cet outil, et se considèrent comme des « white-hat hackers », spécialisés dans la sécurité mobile.

Ils présenteront leur Framework dans le ToorCamp, qui se déroulera ce mois-ci dans l'état de Washington, ainsi que dans la NullCon prévue à Delhi le mois prochain.

Les modules raccourcissent considérablement le temps et simplifient le développement d'un logiciel malveillant. Ils permettent à l'utilisateur de choisir parmi 20 fonctionnalités préconstruites, comme la récupération des contacts, des emails, des données de la carte SD, ou l'accès à l'emplacement du mobile en utilisant le dispositif GPS. On peut même forcer la numérotation de n'importe quel numéro premium.

AFE est essentiellement écrit en PHP, Ruby, Bash et Python.

Les deux experts considèrent cet outil comme une option plus dévastatrice que la méthode "classique", qui requiert de prendre « une application légitime, la décompiler en utilisant APKTool ou Dex2Jar et JF-GUI, insérer nos codes, puis la redistribuer ». En effet, cet outil permet de masquer le malware en tant qu'application légitime, tels un explorateur de fichier, ou un jeu Tic Tac Toe, pour faciliter sa dissémination dans Google Play.

Après distribution, il ne reste plus qu'à tromper l'utilisateur pour l'amener à télécharger l'application via l'Android Marketplace, qui permet aux développeurs de publier des applications de façon anonyme.

Mais qu'est-ce qui pousse deux White Hats à mettre une telle plaie entre les mains des pirates en herbe ? Les chercheurs ne l'expliquent pas, en tout cas pas avant le ToorCamp.
Mais on se doute qu'ils fassent partie de ces nombreux chercheurs qui croient que Google pourrait mieux faire pour protéger les utilisateurs de sa plateforme.

Afin de détecter ces menaces, Google a pourtant mis en place en février dernier un mécanisme appelé Bouncer, conçu pour détecter automatiquement les comportements malveillants. Néanmoins, une présentation au Black Hat le mois dernier a permis d'illustrer par quelle facilité ce Bouncer peut être vaincu.

La semaine dernière, Google a aussi mis à jour le guide des développeurs d'applications Android publiées dans le Google Play, afin de contrer le problème des spams, des applications truquées et celles qui violent la vie privée. Les applications existantes seront supprimées en 30 jours, si leurs développeurs ne suivent pas la ligne directrice fixée par Google.

Espérons que ces mesures seront assez suffisantes pour protéger les utilisateurs d'Android.

Source : SCMagazine

Et vous ?

Que pensez-vous de la démarche et des motivations de ces deux chercheurs ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Sylvaner Sylvaner
http://www.developpez.com
Membre chevronné
le 06/08/2012 16:53
Citation Envoyé par tarikbenmerar  Voir le message
Que pensez-vous de la démarche et des motivations de ces deux chercheurs ?

Foutre le bordel ? Se faire un nom pour quelques mois ? Trouver un poste chez Google ?

En quoi donner l'accès à n'importe qui, la possibilité de foutre le bordel dans des téléphones peut être une avancée...

Bon google va devoir agir etc... Mais le problème, c'est tout les utilisateurs qui ne mettent pas à jour leurs smartphones (quelque soit le système d'exploitation de ce dernier).
Avatar de Paul TOTH Paul TOTH
http://www.developpez.com
Expert Confirmé Sénior
le 06/08/2012 17:03
Citation Envoyé par Sylvaner  Voir le message
Foutre le bordel ? Se faire un nom pour quelques mois ? Trouver un poste chez Google ?

En quoi donner l'accès à n'importe qui, la possibilité de foutre le bordel dans des téléphones peut être une avancée...

Bon google va devoir agir etc... Mais le problème, c'est tout les utilisateurs qui ne mettent pas à jour leurs smartphones (quelque soit le système d'exploitation de ce dernier).

mais il n'est pas toujours possible de mettre à jour son OS ! cela dépend du constructeur !
Avatar de Sylvaner Sylvaner
http://www.developpez.com
Membre chevronné
le 06/08/2012 17:22
Citation Envoyé par Paul TOTH  Voir le message
mais il n'est pas toujours possible de mettre à jour son OS ! cela dépend du constructeur !

Je pense que Google a la possibilité de faire un peu de forcing comme la fois où ils ont fait une suppression d'une application malveillante sur tous les téléphones à distance.
Mais oui, le manque de suivi de certains constructeurs ne peut pas arranger le problème Mais bon, c'est cool, c'est des white-hat
Avatar de kimimo kimimo
http://www.developpez.com
Nouveau Membre du Club
le 06/08/2012 17:44
J'ai l'impression que ce nouveau framework est assez semblable à metasploit mais spécialisé pour Android.

Pour ceux qui ne connaissent pas, metasploit fait la même chose pour le web et desktop (d'ailleurs c'est peut être un fork spécialisé, je ne suis pas allé voir).

Bref, je pense que théoriquement c'est très dangereux mais qu'en pratique il n'y a pas vraiment de risques...
En tous cas, l'avantage c'est que ça met l'accent sur la sécurité et c'est toujours bénéfique !
Avatar de MiaowZedong MiaowZedong
http://www.developpez.com
Membre Expert
le 06/08/2012 17:54
Le point noir de la sécurité sur Android restera toujours l'impossibilité de mettre à jour l'OS pour de nombreux utilisateurs.

À part ça, c'est comme le web "normal": il existe des antivirus pour Android, et il ne faut pas télécharger/cliquer tout ce qui semble beau et clignotant...
Avatar de Paul TOTH Paul TOTH
http://www.developpez.com
Expert Confirmé Sénior
le 06/08/2012 18:08
Citation Envoyé par Sylvaner  Voir le message
Je pense que Google a la possibilité de faire un peu de forcing comme la fois où ils ont fait une suppression d'une application malveillante sur tous les téléphones à distance.
Mais oui, le manque de suivi de certains constructeurs ne peut pas arranger le problème Mais bon, c'est cool, c'est des white-hat

ça c'est pas si simple
Avatar de Tristan Zwingelstein Tristan Zwingelstein
http://www.developpez.com
Membre du Club
le 06/08/2012 21:34
C'est le propre du libre de permettre à n'importe qui d'apporter des solutions innovantes et aussi d'être critique sur ces solutions. Pour moi cela ne reflète qu'une d'une critique constructive pour Google qui finira sans doute par embaucher ces deux experts talentueux ...
Avatar de Bktero Bktero
http://www.developpez.com
Modérateur
le 07/08/2012 10:30
C'est toujours dommage de devoir laisser l'enfant mettre sa main sur la plaque de cuisson chaude pour qu'il comprenne une bonne fois pour toute qu'il ne faut pas la toucher.

C'est bien de forcer Google à faire plus pour la sécurité de l'OS, mais il faut aussi que les constructeurs se bougent pour fournir des mises à jour, comme vous l'avez dit. Je possède un téléphone Samsung et les mises à jour sont inexistantes. Je l'ai eu en Décembre 2010, avec Android 2.1. Au bout de 7 ou 8 mois, j'ai eu droit à Android 2.2 et j'y suis toujours. J'ai branché récemment mon téléphone au logiciel Kies de Samsung, il ne m'a pas proposé de mise à jour. Cela se passe de commentaire...
Avatar de transgohan transgohan
http://www.developpez.com
Expert Confirmé Sénior
le 07/08/2012 20:26
Mon smartphone a deux ans d'ancienneté en France (peut être plus à l'internationale) et il est toujours dans la même version d'Android qu'à la sortie usine car aucune maj n'est mise à disposition.
Google n'est pas le seul à devoir se bouger le cul, il faut que les constructeurs mettent à jour leur distribution ou bien qu'ils s'emmerdent pas à en faire... (car faut bien l'avouer c'est une fausse raison les drivers, ce qui les emmerdent en priorité ce serait de ne pouvoir mettre leur UI)
Avatar de SurferIX SurferIX
http://www.developpez.com
Membre émérite
le 10/08/2012 15:49
La seule chose qui m'interpelle dans tout ça, c'est le point de vue : c'est un peu comme si on disait "attention, on va sortir un couteau très coupant, des gens vont en profiter pour couper tout et n'importe quoi".

C'est juste un outil comme un autre, et, effectivement, il risque d'y avoir des abus, mais d'un autre côté, il y aura des grosses ouvertures qui vont aider le monde à progresser.

Moi, le couteau très coupant, je le vois plus comme un outil supplémentaire qu'une menace, mais chacun son point de vue...
Offres d'emploi IT
Apprenti(e) Ingénieur Développement Business Intelligence- Strasbourg H/F
Alternance
BULL FR - Suisse - Strasbourg
Parue le 30/07/2014
Développeurs Java JEE confirmés H/F
CDI
Almavia - Ile de France - Paris
Parue le 27/08/2014
Architecte de conception de système d'information naval h/f
CDI
BULL FR - Provence Alpes Côte d'Azur - Toulon (83200)
Parue le 31/07/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula