Android : une faille d'identification affecterait 99% des terminaux
Selon des chercheurs allemands
Le 2011-05-17 13:26:27, par Hinault Romaric, Responsable .NET
Mise à jour du 19/05/11 de Gordon Fowler
Google n'a pas tardé à réagir après l'annonce d'une faille dans le processus d'identification d'Android à certains services Web utilisant des connections non chiffrées (lire ci-avant).
Un des dangers de cette faille est la possibilité donnée à des tiers d'accéder aux contenus du Calendrier et des contacts du possesseur du smartphone.
Aujourd'hui, Google fait savoir qu'il a résolu le problème en sortant un correctif qui oblige les terminaux sous Android à se connecter à ses services en HTTPS. Dans le cas où ce type de connexion ne sera pas possible, les services resteront inaccessibles.
La société n'a pas donné de précisions supplémentaires sur ce patch, mis à part que les utilisateurs n'auront aucune manipulation à faire et que cette solution sera déployée dans les jours qui viennent. Ce qui laisse supposer que le patch ne devrait pas s'appliquer au système lui-même mais aux serveurs de Google.
Les chercheurs de l'Université d'Ulm avaient également inclus Picassa dans les services touchés par la faille qu'ils ont découverte. Un service sur lequel Google serait également en train de travailler.
Source : Communiqué à la presse
Android : une faille affecterait 99% des terminaux
Selon des chercheurs allemands
Un groupe de chercheurs en sécurité de l'université d'Ulm en Allemagne a découvert une faille de sécurité touchant plus de 99% des terminaux sous Android. Elle peut être utilisée pour voler les informations d'identification des utilisateurs.
Cette faille de sécurité serait due à une mise en œuvre incorrecte du protocole d'authentification ClientLogin dans la version 2.3.3 et antérieures d'Android.
Le protocole ClientLogin est utilisé pour l'authentification par des applications comme Google Contacts, Calendar ou encore Picasa Web Albums. Lorsque l'utilisateur soumet ses informations d'identification, le protocole crée un jeton d'authentification (authToken) qui peut ensuite être utilisé pendant 14 jours pour toute connexion ultérieure à l'un de ses services.
Les chercheurs ont découvert que dans le cas où l'utilisateur est connecté à un réseau WiFi non sécurisé, des pirates pourraient avoir accès aux jetons d'authentification.
Des personnes malveillantes pourraient donc obtenir un accès complet aux données et aux API des services, consulter, modifier ou supprimer des contacts, des plannings, des événements ou tout autres données en rapport avec ces services Web.
Selon les chercheurs, la vulnérabilité n'est pas limitée aux applications Google sur Android, mais également à toutes les applications qui utilisent le protocole ClientLogin avec HTTP plutôt que HTTPS.
Les chercheurs allemands préconisent aux développeurs utilisant ClientLogin sur Android, d'utiliser également le protocole HTTPS en lieu et place de HTTP. Une autre solution consiste à passer par un protocole d'authentification plus sécurisé comme oAuth.
Enfin, ils suggèrent à Google d'améliorer la sécurité sur Android en réduisant par exemple le temps de validité d'un jeton d'authentification ou en rejetant toutes les demandes de connexions ClientLogin HTTP non sécurisées.
Google aurait déjà patché cette faille dans Android 2.3.4 pour les applications Contacts et Calendar (qui utilisent désormais HTTPS).
Picasa Web Albums serait toujours exposé mais Google travaille déjà sur l'élaboration d'un correctif.
Source : Université de Ulm
Voir aussi les cours et tutoriels Android : http://android.developpez.com/cours/
Google n'a pas tardé à réagir après l'annonce d'une faille dans le processus d'identification d'Android à certains services Web utilisant des connections non chiffrées (lire ci-avant).
Un des dangers de cette faille est la possibilité donnée à des tiers d'accéder aux contenus du Calendrier et des contacts du possesseur du smartphone.
Aujourd'hui, Google fait savoir qu'il a résolu le problème en sortant un correctif qui oblige les terminaux sous Android à se connecter à ses services en HTTPS. Dans le cas où ce type de connexion ne sera pas possible, les services resteront inaccessibles.
La société n'a pas donné de précisions supplémentaires sur ce patch, mis à part que les utilisateurs n'auront aucune manipulation à faire et que cette solution sera déployée dans les jours qui viennent. Ce qui laisse supposer que le patch ne devrait pas s'appliquer au système lui-même mais aux serveurs de Google.
Les chercheurs de l'Université d'Ulm avaient également inclus Picassa dans les services touchés par la faille qu'ils ont découverte. Un service sur lequel Google serait également en train de travailler.
Source : Communiqué à la presse
Android : une faille affecterait 99% des terminaux
Selon des chercheurs allemands
Un groupe de chercheurs en sécurité de l'université d'Ulm en Allemagne a découvert une faille de sécurité touchant plus de 99% des terminaux sous Android. Elle peut être utilisée pour voler les informations d'identification des utilisateurs.
Cette faille de sécurité serait due à une mise en œuvre incorrecte du protocole d'authentification ClientLogin dans la version 2.3.3 et antérieures d'Android.
Le protocole ClientLogin est utilisé pour l'authentification par des applications comme Google Contacts, Calendar ou encore Picasa Web Albums. Lorsque l'utilisateur soumet ses informations d'identification, le protocole crée un jeton d'authentification (authToken) qui peut ensuite être utilisé pendant 14 jours pour toute connexion ultérieure à l'un de ses services.
Les chercheurs ont découvert que dans le cas où l'utilisateur est connecté à un réseau WiFi non sécurisé, des pirates pourraient avoir accès aux jetons d'authentification.
Des personnes malveillantes pourraient donc obtenir un accès complet aux données et aux API des services, consulter, modifier ou supprimer des contacts, des plannings, des événements ou tout autres données en rapport avec ces services Web.
Selon les chercheurs, la vulnérabilité n'est pas limitée aux applications Google sur Android, mais également à toutes les applications qui utilisent le protocole ClientLogin avec HTTP plutôt que HTTPS.
Les chercheurs allemands préconisent aux développeurs utilisant ClientLogin sur Android, d'utiliser également le protocole HTTPS en lieu et place de HTTP. Une autre solution consiste à passer par un protocole d'authentification plus sécurisé comme oAuth.
Enfin, ils suggèrent à Google d'améliorer la sécurité sur Android en réduisant par exemple le temps de validité d'un jeton d'authentification ou en rejetant toutes les demandes de connexions ClientLogin HTTP non sécurisées.
Google aurait déjà patché cette faille dans Android 2.3.4 pour les applications Contacts et Calendar (qui utilisent désormais HTTPS).
Picasa Web Albums serait toujours exposé mais Google travaille déjà sur l'élaboration d'un correctif.
Source : Université de Ulm
Voir aussi les cours et tutoriels Android : http://android.developpez.com/cours/
-
tchize_Expert éminent séniorben en même temps quand t'es sur un réseau public (wifi non sécurisé) tu balance pas n'importe quoi, c'est du bon sens
Tu peux balancer la même faille pour à peux près tous les site web où tu accède en http depuis un wifi non crypté (ex: developpez) le 17/05/2011 à 17:22 -
NekoMembre chevronnéFaille déjà patchée dans la version 2.3.4; mais combien de temps avant que l'update arrive chez l'utilisateur ? 6 mois ?
Si ils pouvaient faire un système d'update correct ce serait vraiment une avancée.le 17/05/2011 à 16:02 -
Gordon FowlerExpert éminent séniorPour info, le problème des mises à jour trop lentes serait en cours de résolution,
Cf. l'annonce faite la semaine dernière au Google I/O : http://www.developpez.com/actu/31868/
Cordialement,le 17/05/2011 à 16:57 -
BisûnûrsModérateurDonc les personnes avec un téléphone ne pouvant même pas passer en version 2 d'Android se retrouvent avec cette faille à vie ?le 17/05/2011 à 17:16
-
ProgValMembre éclairéIl y a déjà un système de mise à jour correct, mais ça n'arrange pas les constructeurs/opérateurs qui rajoutent leur propre surcouche ; ce n'est donc pas de la faute de Google.
Par exemple, Android Froyo est sorti début août, il a fallu attendre jusqu'à octobre ou novembre pour que Orange se décide à publier la mise à jour pour les téléphones utilisant sa version modifiée.
Mais je suis passé à CyanogenMod avant, et maintenant, j'ai les mises à jour très rapidement. La dernière version de CyanogenMod se base sur Android 2.3.4.le 17/05/2011 à 19:17 -
NekoMembre chevronnéJe peux me tromper, mais les mises à jour android demandent de re-télécharger et réinstaller tout le système, non ?
Pourquoi ne pas utiliser un système de patch comme... heu... ben tous les autres OS en fait? Heureusement qu'on nous demande pas de réinstaller Windows, Linux ou Mac à chaque correction d'une faille, sinon on passerait notre temps à ça.le 18/05/2011 à 8:46 -
FailManMembre expertOui, enfin on a connu plus user-friendly pour mettre à jour son téléphone... Le quidam qui achète un Android devrait avoir le droit à un OS sécurisé, le fait de faire des mises à jour pour garder constante cette sécurité, c'est le lot de tous les OS, mais le fait de passer par des mods non officiels et pas connu qui lambda, ce n'est pas tellement le lot de tous les OS.le 18/05/2011 à 8:59
-
ProgValMembre éclairéUne fois le téléphone rooté, et ROM Manager installé, ça va tout seul. Les données sont conservées sans problème d'une mise à jour mineure à l'autre (mineur = le Z de X.Y.Z), maiq c'est vrai que pour passer d'une ROM a l'autre oubchanger de version majeure, il faut faire un "formattage". Mais il y a des outils pour les mises à jour comme Titanium Backup.
Mais c'est vrai que c'est tout sauf Michu-friendly. Et j'ai eu assez de mal à rooter mon téléphone et changer de ROM, à cause des protections ajoutees par Orange (sachant que la plupart des tutos sont pour les operateurs americains....)le 18/05/2011 à 11:29 -
Traroth2Membre émériteMon Nexus S est passé en 2.3.4 lundi dernier...le 18/05/2011 à 18:43