Android : une faille critique découverte
Elle permet d'installer des applications en contournant le système de permission
Le 2010-11-11 13:39:00, par Idelways, Expert éminent sénior
Des chercheurs en sécurité viennent de découvrir une faille critique qui permettrait à des pirates d'installer subrepticement des applications malicieuses avec des droits avancés sur les téléphones sous Android.
Une application servant de proof-of-concept (PoC ou « preuve de faisabilité ») a été censurée et retirée de l'Android Market six heures après sa validation.
Co-développé par Jon Oberheide et Zach Lanier, ce PoC était présenté comme la suite du jeu (très) populaire « Angry Birds ». L'application malicieuse téléchargeait et installait trois autres applications en contournant le système d'autorisation d'Android. Ces trois applications avaient, elles, toutes accès librement aux listes des contacts, le GPS, l'envoi des SMS...
Elles pouvaient ensuite communiquer les informations collectées à des serveurs distants.
On n'en sait pas beaucoup plus sur ce PoC, mis à part qu'il repose sur des faiblesses du système de "jetons" que l'OS mobile de Google utilise pour éviter à l'utilisateur de communiquer son mot de passe aux applications tierces.
Les deux chercheurs donneront plus de détails aujourd'hui durant la conférence de sécurité organisée par Intel à Hillsboro (Oregon)
En attendant, avis aux accrocs d'Angry Birds : son créateur vient d'ajouter 45 niveaux à son jeu... et ce n'est pas un PoC.
Source : Forbes
Et vous ?
Que pensez-vous de cette nouvelle faille ? Faut-il mieux vérifier la sécurité des applications de l'Android Market ?
En collaboration avec Gordon Fowler
Une application servant de proof-of-concept (PoC ou « preuve de faisabilité ») a été censurée et retirée de l'Android Market six heures après sa validation.
Co-développé par Jon Oberheide et Zach Lanier, ce PoC était présenté comme la suite du jeu (très) populaire « Angry Birds ». L'application malicieuse téléchargeait et installait trois autres applications en contournant le système d'autorisation d'Android. Ces trois applications avaient, elles, toutes accès librement aux listes des contacts, le GPS, l'envoi des SMS...
Elles pouvaient ensuite communiquer les informations collectées à des serveurs distants.
On n'en sait pas beaucoup plus sur ce PoC, mis à part qu'il repose sur des faiblesses du système de "jetons" que l'OS mobile de Google utilise pour éviter à l'utilisateur de communiquer son mot de passe aux applications tierces.
Les deux chercheurs donneront plus de détails aujourd'hui durant la conférence de sécurité organisée par Intel à Hillsboro (Oregon)
En attendant, avis aux accrocs d'Angry Birds : son créateur vient d'ajouter 45 niveaux à son jeu... et ce n'est pas un PoC.
Source : Forbes
Et vous ?
En collaboration avec Gordon Fowler
-
UtherExpert éminent séniorTu mélanges un peu tout la:
- ChromeOS que google a annoncé plus sur n'a rien à voir avec Android dont parle la news (à par l'utilisation d'un noyau Linux)
- Google n'a jamais prétendu faire un OS sans faille. Il a juste avancé, à juste titre, que le principal problème de sécurité actuel : l'utilisateur qui installe n'importe quoi disparaissait sur ChromeOS qui se limite au cloud.le 12/11/2010 à 13:13 -
UtherExpert éminent sénior
Envoyé par GCSX_
Bien sur qu'une application non protégée et recopiable à volonté, pour moi c'est un avantage. De toute façon, les protections mise en place sous la plupart des téléphones sont contraignantes et inefficace.
Quant a la récolte de donnée personnelles, c'est certes un problème, mais la encore pas du tout un problème de sécurité. Et android n'est pas plus à l'abri que n'importe quel OS à ce niveau.le 13/11/2010 à 8:58 -
ABandApartMembre actifle 11/11/2010 à 18:22
-
LycheExpert éminentqu'importe, quand tu te prétend le meilleur OS et sans faille, la moindre faille trouvée est un désavoeux et c'est pas bon pour la crédibilité, même si faire un OS sans faille relève de l'impossible, ils ont osé l'affirmer haut et fort.
Je suis plutôt content.. ça va les pousser à faire mieux.le 12/11/2010 à 10:25 -
ABandApartMembre actif100% d'accord avec toi.
Je faisais référence a la comparaison avec les autres entreprises.le 12/11/2010 à 12:32 -
GanYoshiMembre chevronnéEn effet, j'ai retrouvé la news d'origine qui dit que Google promettait juste la fin des virus, et force est de constater que ce n'est pas un virus.
Je sais qu'il s'agit de ChromeOS, mais je remet juste en cause la capacité de Google à faire des applications plus sécurisés que les autres, contrairement à ce que certains semblent penser.le 22/11/2010 à 12:19 -
UtherExpert éminent séniorGoogle n'a jamais prétendu faire plus sécurisé que les autres, et je ne pense pas que qui que ce soit de sérieux ne l'ait jamais cru.
Il a juste annoncé à raison que le "cloud" (qui est la base de ChromeOS) serait un grand bond en avant au niveau de la sécurité ressentie par l'utilisateur, car il le décharge de ses deux principaux problèmes entrainant des vulnérabilités s'il sont mal gérés : l’installation de logiciel et les mises à jour.le 22/11/2010 à 14:42 -
GanYoshiMembre chevronnéEt dire que Google parlait de sortir un OS "sans faille" à propos de Chrome OS, on voit qu'ils sont pas meilleurs que les autres niveau sécurité...le 11/11/2010 à 17:20
-
GCSX_Membre confirméC'est vite dit.
Android ne s'est pas fait pirater en 20 secondes.
Pour détourner une appli payante qui n'implémente pas sa propre protection, il vous suffit de chercher son APK sur Google, et de l'ouvrir avec un simple explorateur de fichier.
Si vous avez un ami qui a acheté cette application, utilisez un terminal pour en copier l'APK.
Pour les données personnelles, les applications n'étant pour ainsi dire pas contrôlés (ceci http://www.developpez.com/actu/23529...-de-permission le prouve d'alleurs très bien), il vous suffit de duper l'utilisateur en incluant une fonction plus ou moins bidon justifiant l'accès aux données et vous pourrez les envoyer sur internet...
Google ne vérifie absolument pas ce que fait l'application de vos données. (En tout cas, jusqu'a maintenant les news tendent à prouver cet état de fait). Il se contentent de vérifier que votre appli ne fera pas planter le système, et qu'elle ne révèle pas de failles.
D'ailleurs, si j'ai bonne mémoire, Développez avait relayé une news révèlant que 75% pour appli du Market détournaient des infos personnelles commes les contact ou la position GPS vers des agences du pub...
Et là je ne parle pas des ROM hackés et autre équivalents de jailbreak...le 13/11/2010 à 1:14