Android : une faille permet de transformer les applications légitimes en cheval de Troie
99 % de terminaux sous l'OS affectés

Le , par Hinault Romaric, Responsable Actualités
Les chercheurs en sécurité du cabinet spécialisé dans la sécurité mobile BlueBox ont découvert une faille critique dans Android.

Cette vulnérabilité touche les versions d’Android sorties ces quatre dernières années (depuis Android 1.6 – Donut), ce qui représente 99 % de smarphones sous l’OS mobile.

Elle peut être exploitée par un pirate pour modifier le code d’un APK (package d’une application Android) légitime, sans casser sa signature cryptographique. Le pirate peut alors modifier n’importe quelle application légitime et la transformer en un cheval de Troie qui pourra être utilisé pour dérober les données d’un utilisateur (e-mail, SMS, documents, etc.), récupérer tous les mots de passe des services qui ont été stockés ou contrôler totalement son smartphone.

La faille proviendrait des différences dans la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature.


Bluebox prétend avoir informé Google sur l’exploit depuis février dernier, et que la firme aurait transféré l’information aux constructeurs. Mais à cause de la fragmentation de la plateforme et du retard des constructeurs dans la publication des mises à jour, un nombre important d’utilisateurs sont encore exposés.

Les détails sur la faille seront présentés lors de la conférence sur la sécurité Black Hat de Las Vegas, qui aura lieu à la fin de ce mois.

Bluebox conseille aux utilisateurs d’éviter les galeries d’applications non officielles et d’installer les applications uniquement à partir de Google Play, après avoir identifié l’éditeur.

Source : Bluebox

Et vous ?

Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?


 Poster une réponse

Avatar de e101mk2 e101mk2
Membre à l'essai
le 04/07/2013 14:44
Hum, c'est bien bizard qu'elle soit découverte que maintenant. Certain téléphone ne reçoit aucune maj depuis longtemps, ils ont du coup l'obligation de faire attention. Pour ma part, je pense que les constructeur onleur faute. Ils font tous la course au mobile les plus performants en oubliant les anciens modèle qui sont loin d'être obsolette. Sachant que sa concerne énormément de mobile, ils ont trop de pain sur la planche, et je pense guère que tous auront la maj...
Et si on est déjà infectée, comment éradique le cheval?
Avatar de Bestel74 Bestel74
Membre confirmé
le 04/07/2013 14:48
Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?

Bof... Tant que le serveur "repository" n'est pas piraté la faille est bof, l'utilisateur qui n'utilise pas le google play est bof aussi, tout est bof

La réactivité n'est pas horrible, au vue de ce qu'il faut faire pour exploiter la faille ^^ non ?
Avatar de lochnar lochnar
Membre du Club
le 04/07/2013 14:50
<troll>
C'est pas une faille, c'est la backdoor pour la NSA...
</troll>
Avatar de transgohan transgohan
Expert Confirmé Sénior
le 04/07/2013 17:20
J'ai lu le billet mais je cherche toujours à partir de quelle version d'Android ce défaut est corrigé...
Pourtant on croit lire que Google a averti les constructeurs en leur demandant de réagir pour mettre à disposition la mise à jour.
Mais quelle est cette mise à jour fantôme ?

@lochnar : Merci tu as fait ma journée !
Avatar de Model_T101 Model_T101
Nouveau Membre du Club
le 05/07/2013 10:20
C'est Android le cheval de troie, pas besoin d'application, il suffit de lire les conditions de Google
Avatar de pierre++ pierre++
Nouveau Membre du Club
le 06/07/2013 16:47
Il existe énormément d'applications Android qui demandent des autorisations sans rapport avec les besoins de ces mêmes applications et très peu d'utilitaires permettant de surveiller ce que font réellement ces applications.
Si je me souviens bien google se réserve aussi le droit de récupérer toute les informations contenues dans le mobile (je suis sûr d'avoir lu ça quelque part, à vérifier néanmoins).
En gros en utilisant un mobile Android on est de toute façon sur écoute en permanence.
Je me trompe?
Avatar de nicroman nicroman
Modérateur
le 07/07/2013 1:51
Non... tu ne te trompe pas.... sauf que tu peux enlever "Android":

"En gros en utilisant un mobile on est de toute façon sur écoute en permanence."

La question n'est pas là...
On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.

C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....
Avatar de pierre++ pierre++
Nouveau Membre du Club
le 08/07/2013 10:50
Citation Envoyé par nicroman  Voir le message
On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.
C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....

Effectivement ce n'est pas clair, si google-play fait bien son travail et que les utilisateurs ne reçoivent les mises à jour qu'à partir des serveurs googles la "faille" ne devrait pas être exploitable.
De mon côté je me demande à chaque fois que j'installe une appli Android si je ne suis pas en train d'installer un cheval de Troie tellement les autorisations à donner me semblent exagérées.
Avatar de Hinault Romaric Hinault Romaric
Responsable Actualités
le 09/07/2013 13:09
Android : Google publie un correctif pour la vulnérabilité
touchant 99 % des smartphones sous l’OS

Mise à jour du 09/07/13

Google vient de publier un correctif d’urgence pour la faille de sécurité dévoilée la semaine dernière dans Android.

Présentée par le cabinet de sécurité Bluebox, cette faille touche près de 99 % de smartphones sous l’OS mobile de Google.

La vulnérabilité se situe au niveau de la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature. Les pirates peuvent donc l’exploiter pour transformer des applications officielles en Cheval de Troie pour dérober les données des utilisateurs ou contrôler leur terminal.




Le correctif mis au point par Google a été transmis aux constructeurs d’appareils, selon ZDNet.com, qui devront le répercuter sur les smartphones des consommateurs.

Certains constructeurs comme Samsung ont déjà commencé avec le déploiement de la mise à jour sur les périphériques Android, d’après le responsable de la communication chez Google, qui a expliqué qu’aucune preuve d’exploitation dans Google Play ou autres galeries d’applications n’a été découverte par ses outils d’analyse de sécurité.

Et vous ?

Avez-vous déjà reçu la mise à jour ?
Avatar de nirgal76 nirgal76
Membre émérite
le 09/07/2013 13:25
Bon courage à ceux qui fonctionne avec une ROM opérateur, sont pas prêt d'avoir la mise à jour.
Offres d'emploi IT
Lead Développeur Cellule R&D Groupe de Presse international
CDI
Mobiskill - Ile de France - Paris
Parue le 25/03/2014
Ingénieur développement informatique
CDI
Paris Incubateurs - Ile de France - Paris
Parue le 28/03/2014
Ingénieur développeur - Support technique Generix
CDI
COOPTALIS - Nord Pas-de-Calais - Région Lilloise
Parue le 24/03/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula