Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Android : une faille d'identification affecterait 99% des terminaux
Selon des chercheurs allemands

Le , par Hinault Romaric

0PARTAGES

2  0 
Mise à jour du 19/05/11 de Gordon Fowler

Google n'a pas tardé à réagir après l'annonce d'une faille dans le processus d'identification d'Android à certains services Web utilisant des connections non chiffrées (lire ci-avant).

Un des dangers de cette faille est la possibilité donnée à des tiers d'accéder aux contenus du Calendrier et des contacts du possesseur du smartphone.

Aujourd'hui, Google fait savoir qu'il a résolu le problème en sortant un correctif qui oblige les terminaux sous Android à se connecter à ses services en HTTPS. Dans le cas où ce type de connexion ne sera pas possible, les services resteront inaccessibles.

La société n'a pas donné de précisions supplémentaires sur ce patch, mis à part que les utilisateurs n'auront aucune manipulation à faire et que cette solution sera déployée dans les jours qui viennent. Ce qui laisse supposer que le patch ne devrait pas s'appliquer au système lui-même mais aux serveurs de Google.

Les chercheurs de l'Université d'Ulm avaient également inclus Picassa dans les services touchés par la faille qu'ils ont découverte. Un service sur lequel Google serait également en train de travailler.

Source : Communiqué à la presse

Android : une faille affecterait 99% des terminaux
Selon des chercheurs allemands

Un groupe de chercheurs en sécurité de l'université d'Ulm en Allemagne a découvert une faille de sécurité touchant plus de 99% des terminaux sous Android. Elle peut être utilisée pour voler les informations d'identification des utilisateurs.

Cette faille de sécurité serait due à une mise en œuvre incorrecte du protocole d'authentification ClientLogin dans la version 2.3.3 et antérieures d'Android.

Le protocole ClientLogin est utilisé pour l'authentification par des applications comme Google Contacts, Calendar ou encore Picasa Web Albums. Lorsque l'utilisateur soumet ses informations d'identification, le protocole crée un jeton d'authentification (authToken) qui peut ensuite être utilisé pendant 14 jours pour toute connexion ultérieure à l'un de ses services.

Les chercheurs ont découvert que dans le cas où l'utilisateur est connecté à un réseau WiFi non sécurisé, des pirates pourraient avoir accès aux jetons d'authentification.

Des personnes malveillantes pourraient donc obtenir un accès complet aux données et aux API des services, consulter, modifier ou supprimer des contacts, des plannings, des événements ou tout autres données en rapport avec ces services Web.

Selon les chercheurs, la vulnérabilité n'est pas limitée aux applications Google sur Android, mais également à toutes les applications qui utilisent le protocole ClientLogin avec HTTP plutôt que HTTPS.

Les chercheurs allemands préconisent aux développeurs utilisant ClientLogin sur Android, d'utiliser également le protocole HTTPS en lieu et place de HTTP. Une autre solution consiste à passer par un protocole d'authentification plus sécurisé comme oAuth.

Enfin, ils suggèrent à Google d'améliorer la sécurité sur Android en réduisant par exemple le temps de validité d'un jeton d'authentification ou en rejetant toutes les demandes de connexions ClientLogin HTTP non sécurisées.

Google aurait déjà patché cette faille dans Android 2.3.4 pour les applications Contacts et Calendar (qui utilisent désormais HTTPS).

Picasa Web Albums serait toujours exposé mais Google travaille déjà sur l'élaboration d'un correctif.

Source : Université de Ulm

Voir aussi les cours et tutoriels Android : http://android.developpez.com/cours/

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 17/05/2011 à 17:22
ben en même temps quand t'es sur un réseau public (wifi non sécurisé) tu balance pas n'importe quoi, c'est du bon sens Tu peux balancer la même faille pour à peux près tous les site web où tu accède en http depuis un wifi non crypté (ex: developpez)
1  0 
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 17/05/2011 à 16:02
Faille déjà patchée dans la version 2.3.4; mais combien de temps avant que l'update arrive chez l'utilisateur ? 6 mois ?
Si ils pouvaient faire un système d'update correct ce serait vraiment une avancée.
0  0 
Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 17/05/2011 à 16:57
Pour info, le problème des mises à jour trop lentes serait en cours de résolution,
Cf. l'annonce faite la semaine dernière au Google I/O : http://www.developpez.com/actu/31868/

Cordialement,
0  0 
Avatar de Bisûnûrs
Modérateur https://www.developpez.com
Le 17/05/2011 à 17:16
Donc les personnes avec un téléphone ne pouvant même pas passer en version 2 d'Android se retrouvent avec cette faille à vie ?
0  0 
Avatar de ProgVal
Membre éclairé https://www.developpez.com
Le 17/05/2011 à 19:17
Citation Envoyé par Neko Voir le message
Faille déjà patchée dans la version 2.3.4; mais combien de temps avant que l'update arrive chez l'utilisateur ? 6 mois ?
Si ils pouvaient faire un système d'update correct ce serait vraiment une avancée.
Il y a déjà un système de mise à jour correct, mais ça n'arrange pas les constructeurs/opérateurs qui rajoutent leur propre surcouche ; ce n'est donc pas de la faute de Google.
Par exemple, Android Froyo est sorti début août, il a fallu attendre jusqu'à octobre ou novembre pour que Orange se décide à publier la mise à jour pour les téléphones utilisant sa version modifiée.
Mais je suis passé à CyanogenMod avant, et maintenant, j'ai les mises à jour très rapidement. La dernière version de CyanogenMod se base sur Android 2.3.4.
0  0 
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 18/05/2011 à 8:46
Citation Envoyé par ProgVal Voir le message
Il y a déjà un système de mise à jour correct, mais ça n'arrange pas les constructeurs/opérateurs qui rajoutent leur propre surcouche ; ce n'est donc pas de la faute de Google.
Par exemple, Android Froyo est sorti début août, il a fallu attendre jusqu'à octobre ou novembre pour que Orange se décide à publier la mise à jour pour les téléphones utilisant sa version modifiée.
Mais je suis passé à CyanogenMod avant, et maintenant, j'ai les mises à jour très rapidement. La dernière version de CyanogenMod se base sur Android 2.3.4.
Je peux me tromper, mais les mises à jour android demandent de re-télécharger et réinstaller tout le système, non ?
Pourquoi ne pas utiliser un système de patch comme... heu... ben tous les autres OS en fait? Heureusement qu'on nous demande pas de réinstaller Windows, Linux ou Mac à chaque correction d'une faille, sinon on passerait notre temps à ça.
0  0 
Avatar de FailMan
Membre expert https://www.developpez.com
Le 18/05/2011 à 8:59
Citation Envoyé par ProgVal Voir le message
Il y a déjà un système de mise à jour correct, mais ça n'arrange pas les constructeurs/opérateurs qui rajoutent leur propre surcouche ; ce n'est donc pas de la faute de Google.
Par exemple, Android Froyo est sorti début août, il a fallu attendre jusqu'à octobre ou novembre pour que Orange se décide à publier la mise à jour pour les téléphones utilisant sa version modifiée.
Mais je suis passé à CyanogenMod avant, et maintenant, j'ai les mises à jour très rapidement. La dernière version de CyanogenMod se base sur Android 2.3.4.
Oui, enfin on a connu plus user-friendly pour mettre à jour son téléphone... Le quidam qui achète un Android devrait avoir le droit à un OS sécurisé, le fait de faire des mises à jour pour garder constante cette sécurité, c'est le lot de tous les OS, mais le fait de passer par des mods non officiels et pas connu qui lambda, ce n'est pas tellement le lot de tous les OS.
0  0 
Avatar de ProgVal
Membre éclairé https://www.developpez.com
Le 18/05/2011 à 11:29
Une fois le téléphone rooté, et ROM Manager installé, ça va tout seul. Les données sont conservées sans problème d'une mise à jour mineure à l'autre (mineur = le Z de X.Y.Z), maiq c'est vrai que pour passer d'une ROM a l'autre oubchanger de version majeure, il faut faire un "formattage". Mais il y a des outils pour les mises à jour comme Titanium Backup.
Mais c'est vrai que c'est tout sauf Michu-friendly. Et j'ai eu assez de mal à rooter mon téléphone et changer de ROM, à cause des protections ajoutees par Orange (sachant que la plupart des tutos sont pour les operateurs americains....)
0  0 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 18/05/2011 à 18:43
Mon Nexus S est passé en 2.3.4 lundi dernier...
0  0