IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Android : Google corrige la faille Fake ID
Une vulnérabilité qui permet à un malware d'usurper l'identité d'une application connue

Le , par Stéphane le calme

27PARTAGES

1  0 
L’entreprise spécialisée en sécurité Bluebox Labs a découvert une faille dans la manière dont la sécurité des applications est vérifiée sur Android, et qui affecte toutes les versions du système d’exploitation mobile depuis janvier 2010 : de la version 2.1 Eclair à la version 4.4 KitKat.

Baptisée Fake ID, la faille permet à un malware d’utiliser une signature d’une application connue afin de masquer sa vraie origine. « Elle permet un accès spécial aux ressources Android qui sont normalement hors-limites à des applications malveillantes. Un peu comme un permis de conduire frauduleux qu'un adolescent pourrait utiliser pour entrer dans un endroit interdit aux mineurs », avancent les chercheurs.

« Fake ID peut être utilisé par un malware pour s'affranchir de la sandbox normale pour les applications, et réaliser une ou plusieurs actions : insérer un cheval de Troie dans une application en se faisant passer pour Adobe Systems, accéder aux données de paiement NFC en usurpant l'identité de Google Wallet, ou prendre le contrôle complet de l'appareil en se faisant passer pour 3LM ». En clair, un malware pourrait par exemple s’attribuer l'identité associée à Google Wallet, le portefeuille électronique intégré à Android, pour obtenir ainsi un accès aux informations de paiement de l'utilisateur. En usurpant les outils de gestion de terminaux destinés aux entreprises, il est même possible de prendre à distance le contrôle intégral de l'appareil.

En avril dernier, Bluebox en a averti Google qui a d’ores et déjà poussé un correctif sur AOSP et vers les OEM partenaires. Par ailleurs, Google a précisé que son outil de vérification des applications installées, qui a été mis à jour, n’a pas rencontré de malware exploitant cette vulnérabilité. Cependant, pour éviter les mauvaises surprises, les utilisateurs sont invités à rester prudents, notamment en téléchargeant les applications depuis la vitrine officielle et non depuis des vitrines tierces, en mettant à jour leur terminal mobile aussi fréquemment que possible, en évitant de télécharger des contenus de n’importe quel site et, si possible, en se munissant d’un programme antivirus.

Source : Bluebox Labs

Une erreur dans cette actualité ? Signalez-nous-la !