IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs découvrent des problèmes de sécurité dans le SDK Android
Pouvant entraîner un débordement de tampon

Le , par Francis Walter
0 commentaire

41PARTAGES

0  0 
Des chercheurs en sécurité ont découvert deux problèmes de sécurité dans les outils de développement Android (Android SDK). Lorsqu’ils sont combinés, ils peuvent permettre à un utilisateur sans privilège d'accéder au compte d'une personne qui utilise l'outil Android Debug Bridge (ADB) ».

Les deux problèmes relevés concernent trois composants d’ADB : ADB Daemon, ADB Server et ADB Client. ADB Daemon est l’outil de débogage utilisé par les appareils Android pour communiquer avec des périphériques. Il peut être contrôlé par l’utilisateur grâce au menu disponible dans les paramètres « Débogage USB ». ADB Server s’exécute sur la machine de développement. En ce qui concerne ADB Client, il est utilisé par les développeurs pour accéder à un périphérique Android.

Suite aux tests des chercheurs avec le SDK Android 18.0.1 sur un PC 64 bits disposant d’Ubuntu 12.04, ceux-ci ont découvert un problème de débordement de tampon (buffer overflow) et le manque des mécanismes de protection modernes lors de la compilation.

Les chercheurs expliquent qu’il n’existe aucun mécanisme de contrôle de l’authentification entre ADB Server et ADB Client. Conséquence : sur un système multiutilisateur, un pirate peut exécuter un serveur ADB malveillant et communiquer avec les appareils Android. Toute commande vers le serveur ADB pourra être exploitée pour entrainer un débordement de tampon sur le périphérique à l’origine de la requête.

Les chercheurs affirment également que lors des investigations pour exploiter cette faille, ils se sont rendu compte que le SDK Android ne dispose pas de deux mécanismes de protection modernes cruciaux à savoir : la protection de la pile non exécutable et la randomisation de la base binaire (Position Independent Execution).

Droidsec affirme avoir informé Google de la situation et transmis des correctifs à la société. Suite à la lenteur de la firme pour publier une mise à jour, ceux-ci ont décidé de divulguer publiquement la faille, dans l’intérêt des utilisateurs..

Les chercheurs estiment que ces problèmes de sécurités concernent toutes les versions du kit de développement Android.

Source : droidsec

Et vous ?

Qu'en pensez-vous ? Et du manque de réaction de Google ?

Une erreur dans cette actualité ? Signalez-nous-la !

0 commentaire
Commenter Signaler un problème