Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux
3   0


 Discussion forum

Retrouvez le dossier complet de la rédaction
Sur le même sujet

Android : une faille permet de transformer les applications légitimes en cheval de Troie
99 % de terminaux sous l'OS affectés

Le , par Hinault Romaric, Responsable Actualités
Les chercheurs en sécurité du cabinet spécialisé dans la sécurité mobile BlueBox ont découvert une faille critique dans Android.

Cette vulnérabilité touche les versions d’Android sorties ces quatre dernières années (depuis Android 1.6 – Donut), ce qui représente 99 % de smarphones sous l’OS mobile.

Elle peut être exploitée par un pirate pour modifier le code d’un APK (package d’une application Android) légitime, sans casser sa signature cryptographique. Le pirate peut alors modifier n’importe quelle application légitime et la transformer en un cheval de Troie qui pourra être utilisé pour dérober les données d’un utilisateur (e-mail, SMS, documents, etc.), récupérer tous les mots de passe des services qui ont été stockés ou contrôler totalement son smartphone.

La faille proviendrait des différences dans la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature.


Bluebox prétend avoir informé Google sur l’exploit depuis février dernier, et que la firme aurait transféré l’information aux constructeurs. Mais à cause de la fragmentation de la plateforme et du retard des constructeurs dans la publication des mises à jour, un nombre important d’utilisateurs sont encore exposés.

Les détails sur la faille seront présentés lors de la conférence sur la sécurité Black Hat de Las Vegas, qui aura lieu à la fin de ce mois.

Bluebox conseille aux utilisateurs d’éviter les galeries d’applications non officielles et d’installer les applications uniquement à partir de Google Play, après avoir identifié l’éditeur.

Source : Bluebox

Et vous ?

Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de e101mk2 e101mk2 - Nouveau Membre du Club http://www.developpez.com
le 04/07/2013 à 14:44
Hum, c'est bien bizard qu'elle soit découverte que maintenant. Certain téléphone ne reçoit aucune maj depuis longtemps, ils ont du coup l'obligation de faire attention. Pour ma part, je pense que les constructeur onleur faute. Ils font tous la course au mobile les plus performants en oubliant les anciens modèle qui sont loin d'être obsolette. Sachant que sa concerne énormément de mobile, ils ont trop de pain sur la planche, et je pense guère que tous auront la maj...
Et si on est déjà infectée, comment éradique le cheval?
Avatar de Bestel74 Bestel74 - Membre éprouvé http://www.developpez.com
le 04/07/2013 à 14:48
Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?

Bof... Tant que le serveur "repository" n'est pas piraté la faille est bof, l'utilisateur qui n'utilise pas le google play est bof aussi, tout est bof

La réactivité n'est pas horrible, au vue de ce qu'il faut faire pour exploiter la faille ^^ non ?
Avatar de lochnar lochnar - Membre du Club http://www.developpez.com
le 04/07/2013 à 14:50
<troll>
C'est pas une faille, c'est la backdoor pour la NSA...
</troll>
Avatar de transgohan transgohan - Expert Confirmé Sénior http://www.developpez.com
le 04/07/2013 à 17:20
J'ai lu le billet mais je cherche toujours à partir de quelle version d'Android ce défaut est corrigé...
Pourtant on croit lire que Google a averti les constructeurs en leur demandant de réagir pour mettre à disposition la mise à jour.
Mais quelle est cette mise à jour fantôme ?

@lochnar : Merci tu as fait ma journée !
Avatar de Model_T101 Model_T101 - Nouveau Membre du Club http://www.developpez.com
le 05/07/2013 à 10:20
C'est Android le cheval de troie, pas besoin d'application, il suffit de lire les conditions de Google
Avatar de pierre++ pierre++ - Membre régulier http://www.developpez.com
le 06/07/2013 à 16:47
Il existe énormément d'applications Android qui demandent des autorisations sans rapport avec les besoins de ces mêmes applications et très peu d'utilitaires permettant de surveiller ce que font réellement ces applications.
Si je me souviens bien google se réserve aussi le droit de récupérer toute les informations contenues dans le mobile (je suis sûr d'avoir lu ça quelque part, à vérifier néanmoins).
En gros en utilisant un mobile Android on est de toute façon sur écoute en permanence.
Je me trompe?
Avatar de nicroman nicroman - Modérateur http://www.developpez.com
le 07/07/2013 à 1:51
Non... tu ne te trompe pas.... sauf que tu peux enlever "Android":

"En gros en utilisant un mobile on est de toute façon sur écoute en permanence."

La question n'est pas là...
On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.

C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....
Avatar de pierre++ pierre++ - Membre régulier http://www.developpez.com
le 08/07/2013 à 10:50
Citation Envoyé par nicroman  Voir le message
On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.
C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....

Effectivement ce n'est pas clair, si google-play fait bien son travail et que les utilisateurs ne reçoivent les mises à jour qu'à partir des serveurs googles la "faille" ne devrait pas être exploitable.
De mon côté je me demande à chaque fois que j'installe une appli Android si je ne suis pas en train d'installer un cheval de Troie tellement les autorisations à donner me semblent exagérées.
Avatar de Hinault Romaric Hinault Romaric - Responsable Actualités http://www.developpez.com
le 09/07/2013 à 13:09
Android : Google publie un correctif pour la vulnérabilité
touchant 99 % des smartphones sous l’OS

Mise à jour du 09/07/13

Google vient de publier un correctif d’urgence pour la faille de sécurité dévoilée la semaine dernière dans Android.

Présentée par le cabinet de sécurité Bluebox, cette faille touche près de 99 % de smartphones sous l’OS mobile de Google.

La vulnérabilité se situe au niveau de la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature. Les pirates peuvent donc l’exploiter pour transformer des applications officielles en Cheval de Troie pour dérober les données des utilisateurs ou contrôler leur terminal.




Le correctif mis au point par Google a été transmis aux constructeurs d’appareils, selon ZDNet.com, qui devront le répercuter sur les smartphones des consommateurs.

Certains constructeurs comme Samsung ont déjà commencé avec le déploiement de la mise à jour sur les périphériques Android, d’après le responsable de la communication chez Google, qui a expliqué qu’aucune preuve d’exploitation dans Google Play ou autres galeries d’applications n’a été découverte par ses outils d’analyse de sécurité.

Et vous ?

Avez-vous déjà reçu la mise à jour ?
Avatar de nirgal76 nirgal76 - Membre Expert http://www.developpez.com
le 09/07/2013 à 13:25
Bon courage à ceux qui fonctionne avec une ROM opérateur, sont pas prêt d'avoir la mise à jour.
Offres d'emploi IT
Développeur back-end cloud/sécu - python 3.0
CDI
Mobiskill - Ile de France - Paris (75000)
Gestionnaire Paie (H/F)
CDI
Grey Consulting - Ile de France - Paris - 2ème arrondissement
Concepteur développeur java h/f
CDI
Sogeti - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Responsable bénévole de la rubrique Accueil : le Service Publications -