Developpez.com

Le Club des Développeurs et IT Pro

Android : une faille critique découverte

Elle permet d'installer des applications en contournant le système de permission

Le 2010-11-11 13:39:00, par Idelways, Expert éminent sénior
Des chercheurs en sécurité viennent de découvrir une faille critique qui permettrait à des pirates d'installer subrepticement des applications malicieuses avec des droits avancés sur les téléphones sous Android.

Une application servant de proof-of-concept (PoC ou « preuve de faisabilité ») a été censurée et retirée de l'Android Market six heures après sa validation.

Co-développé par Jon Oberheide et Zach Lanier, ce PoC était présenté comme la suite du jeu (très) populaire « Angry Birds ». L'application malicieuse téléchargeait et installait trois autres applications en contournant le système d'autorisation d'Android. Ces trois applications avaient, elles, toutes accès librement aux listes des contacts, le GPS, l'envoi des SMS...

Elles pouvaient ensuite communiquer les informations collectées à des serveurs distants.

On n'en sait pas beaucoup plus sur ce PoC, mis à part qu'il repose sur des faiblesses du système de "jetons" que l'OS mobile de Google utilise pour éviter à l'utilisateur de communiquer son mot de passe aux applications tierces.

Les deux chercheurs donneront plus de détails aujourd'hui durant la conférence de sécurité organisée par Intel à Hillsboro (Oregon)

En attendant, avis aux accrocs d'Angry Birds : son créateur vient d'ajouter 45 niveaux à son jeu... et ce n'est pas un PoC.

Source : Forbes

Et vous ?

Que pensez-vous de cette nouvelle faille ? Faut-il mieux vérifier la sécurité des applications de l'Android Market ?

En collaboration avec Gordon Fowler
  Discussion forum
9 commentaires
  • Uther
    Expert éminent sénior
    Envoyé par GanYoshi
    Et dire que Google parlait de sortir un OS "sans faille" à propos de Chrome OS, on voit qu'ils sont pas meilleurs que les autres niveau sécurité...
    Tu mélanges un peu tout la:
    - ChromeOS que google a annoncé plus sur n'a rien à voir avec Android dont parle la news (à par l'utilisation d'un noyau Linux)

    - Google n'a jamais prétendu faire un OS sans faille. Il a juste avancé, à juste titre, que le principal problème de sécurité actuel : l'utilisateur qui installe n'importe quoi disparaissait sur ChromeOS qui se limite au cloud.
    le 12/11/2010 à 13:13
  • Uther
    Expert éminent sénior
    Envoyé par GCSX_
    Tu veut rire? Android est l'OS le plus simple pour ce qui est du détournement d'applications payantes et de données personnelles.
    Désolé mais ça n'a rien a voir avec des failles de sécurité.

    Bien sur qu'une application non protégée et recopiable à volonté, pour moi c'est un avantage. De toute façon, les protections mise en place sous la plupart des téléphones sont contraignantes et inefficace.

    Quant a la récolte de donnée personnelles, c'est certes un problème, mais la encore pas du tout un problème de sécurité. Et android n'est pas plus à l'abri que n'importe quel OS à ce niveau.
    le 13/11/2010 à 8:58
  • ABandApart
    Membre actif
    Envoyé par GanYoshi
    Et dire que Google parlait de sortir un OS "sans faille" à propos de Chrome OS, on voit qu'ils sont pas meilleurs que les autres niveau sécurité...
    C'est vite dit.
    Android ne s'est pas fait pirater en 20 secondes.
    le 11/11/2010 à 18:22
  • Lyche
    Expert éminent
    Envoyé par Dareho
    C'est vite dit.
    Android ne s'est pas fait pirater en 20 secondes.
    qu'importe, quand tu te prétend le meilleur OS et sans faille, la moindre faille trouvée est un désavoeux et c'est pas bon pour la crédibilité, même si faire un OS sans faille relève de l'impossible, ils ont osé l'affirmer haut et fort.
    Je suis plutôt content.. ça va les pousser à faire mieux.
    le 12/11/2010 à 10:25
  • ABandApart
    Membre actif
    Envoyé par Lyche
    qu'importe, quand tu te prétend le meilleur OS et sans faille, la moindre faille trouvée est un désavoeux et c'est pas bon pour la crédibilité, même si faire un OS sans faille relève de l'impossible, ils ont osé l'affirmer haut et fort.
    Je suis plutôt content.. ça va les pousser à faire mieux.
    100% d'accord avec toi.
    Je faisais référence a la comparaison avec les autres entreprises.
    le 12/11/2010 à 12:32
  • GanYoshi
    Membre chevronné
    Envoyé par Uther
    Tu mélanges un peu tout la:
    - ChromeOS que google a annoncé plus sur n'a rien à voir avec Android dont parle la news (à par l'utilisation d'un noyau Linux)

    - Google n'a jamais prétendu faire un OS sans faille. Il a juste avancé, à juste titre, que le principal problème de sécurité actuel : l'utilisateur qui installe n'importe quoi disparaissait sur ChromeOS qui se limite au cloud.
    En effet, j'ai retrouvé la news d'origine qui dit que Google promettait juste la fin des virus, et force est de constater que ce n'est pas un virus.

    Je sais qu'il s'agit de ChromeOS, mais je remet juste en cause la capacité de Google à faire des applications plus sécurisés que les autres, contrairement à ce que certains semblent penser.
    le 22/11/2010 à 12:19
  • Uther
    Expert éminent sénior
    Google n'a jamais prétendu faire plus sécurisé que les autres, et je ne pense pas que qui que ce soit de sérieux ne l'ait jamais cru.

    Il a juste annoncé à raison que le "cloud" (qui est la base de ChromeOS) serait un grand bond en avant au niveau de la sécurité ressentie par l'utilisateur, car il le décharge de ses deux principaux problèmes entrainant des vulnérabilités s'il sont mal gérés : l’installation de logiciel et les mises à jour.
    le 22/11/2010 à 14:42
  • GanYoshi
    Membre chevronné
    Et dire que Google parlait de sortir un OS "sans faille" à propos de Chrome OS, on voit qu'ils sont pas meilleurs que les autres niveau sécurité...
    le 11/11/2010 à 17:20
  • GCSX_
    Membre confirmé
    C'est vite dit.
    Android ne s'est pas fait pirater en 20 secondes.
    Tu veut rire? Android est l'OS le plus simple pour ce qui est du détournement d'applications payantes et de données personnelles.

    Pour détourner une appli payante qui n'implémente pas sa propre protection, il vous suffit de chercher son APK sur Google, et de l'ouvrir avec un simple explorateur de fichier.

    Si vous avez un ami qui a acheté cette application, utilisez un terminal pour en copier l'APK.

    Pour les données personnelles, les applications n'étant pour ainsi dire pas contrôlés (ceci http://www.developpez.com/actu/23529...-de-permission le prouve d'alleurs très bien), il vous suffit de duper l'utilisateur en incluant une fonction plus ou moins bidon justifiant l'accès aux données et vous pourrez les envoyer sur internet...

    Google ne vérifie absolument pas ce que fait l'application de vos données. (En tout cas, jusqu'a maintenant les news tendent à prouver cet état de fait). Il se contentent de vérifier que votre appli ne fera pas planter le système, et qu'elle ne révèle pas de failles.

    D'ailleurs, si j'ai bonne mémoire, Développez avait relayé une news révèlant que 75% pour appli du Market détournaient des infos personnelles commes les contact ou la position GPS vers des agences du pub...

    Et là je ne parle pas des ROM hackés et autre équivalents de jailbreak...
    le 13/11/2010 à 1:14
  Poster une réponse