La sécurité d'Android remise en question
Au BlackHat 2010 à cause de failles de Linux non-patchés et du système de permission
Réputé pour être « impiratable » , le système Android serait tout sauf inattaquable. C'est en tout cas la conclusion des présentations de quelque chercheurs-orateurs durant la conférence Black Hat 2010.
Dans une première présentation, le CEO de Lookout, John Gerring parle de l'application des fonds d'écrans « Jackeey Wallpaper », qui a été téléchargé des millions de fois et qui peut rassembler et transmettre à un site web en Chine des mots de passes, des historiques de navigation, l'identifiant de l'abonné, le numéro de la carte SIM et les SMS.
Les chercheurs de Lookout (spécialiste de la sécurité pour mobiles) auraient même trouvé le moyen d'utiliser cette application pour prendre le contrôle total du mobile.
Le contrôle total du mobile peut être obtenu en exploitant des failles non patchées de Linux, sur lequel s'appuie Android, qui permettraient d'avoir un accès Root.
C'est le cas également de la faille : CVE-2009 1185, connue et patchée depuis plus d'un an, mais dont les opérateurs ne semblent pas se presser à appliquer le correctif. Cette failleaurait déjà été exploitée avec succès sur des téléphones HTC, le Droid (et Droid X), le G1 et le Hero.
Dans une seconde conférence, Anthony Lineberry, un chercheur à Lookout estime que la sécurité du système Android est exagérée. Mais l'obtention de l'accès root n'est pas le seul moyen d'attaquer l'OS mobile.
Les applications Android demandent des permissions d'accès à certaines ressources du téléphone. Les développeurs listent les permissions requises par leurs applications, liste que le client doit valider s'il désire utiliser l'application.
Si une applications qui trient les SMS et demande un accès Internet peut paraitre suspecte, d'autres permissions peuvent sembler inoffensives, comme "Importer les Log d'Android". Or les logs peuvent révéler des informations confidentielles qui pourront être envoyées en arrière-plan ou en affichant des pages web d'apparence inoffensives, a en substance expliqué Tim Wyatt.
Pour mémoire, la société Lookout a réalisé une étude appelée « Projet App Genome », qui examine les applications iPhone et Android en fonction des permissions requises et des risques qui peuvent en résulter.
Une autre facette du problème est qu'Android autorise les applications à utiliser les ressources d'autres applications. Une application sans accès à internet peut par exemple y accéder à travers une autre qui a, elle, accès au web.
Bref si Android a bel bien résisté au dernier Pwn2Own, ce concours très relevé où des Grey Hats essayent de pénétrer les systèmes et les navigateurs, il n'en resterait pas moins un OS vulnérable comme les autres.
Ni plus, ni moins.
Source : Site de BlackHat 2010 et le billet de Lookout sur le Projet App Genome
Lire aussi :
Android : nouveau système pour lutter contre le piratage des applications payantes, elles devront se connecter aux serveurs de Google
« Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur » répond Google, après l'étude sur Android Market
Les rubriques (actu, forums, tutos) de Développez :
Android
Sécurité
Mobile
Systèmes
Et vous ?
Que pensez-vous de ces études sur Android ?
Et pensez-vous que la sécurité de l'OS soit meilleure, moins bonne, ou égale à celle de ses concurrents (iOS, Windows Mobile, RIM, Symbian, etc) ?
En collaboration avec Gordon Fowler
La sécurité d'Android remise en question au BlackHat 2010
à cause de failles de Linux non patchées et du système de permission
La sécurité d'Android remise en question au BlackHat 2010
à cause de failles de Linux non patchées et du système de permission
Le , par Idelways
Une erreur dans cette actualité ? Signalez-nous-la !