IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Android : des chercheurs s'apprêtent à publier un framework modulaire d'exploit
De nouvelles sources de menace à l'horizon

Le , par tarikbenmerar

26PARTAGES

7  0 
Une nouvelle source de menace pour l'OS Android se profile. Deux experts en sécurité affirment qu'ils publieront le mois prochain un nouveau framework open source modulaire appelé AFE (Android Framework for Exploitation).

Cet outil permettra à toute personne bien intentionnée (ou pas du tout !) de créer et de personnaliser son application Android malveillante. Adity Gupta et Subho Halder sont les deux créateurs derrière cet outil, et se considèrent comme des « white-hat hackers », spécialisés dans la sécurité mobile.

Ils présenteront leur Framework dans le ToorCamp, qui se déroulera ce mois-ci dans l'état de Washington, ainsi que dans la NullCon prévue à Delhi le mois prochain.

Les modules raccourcissent considérablement le temps et simplifient le développement d'un logiciel malveillant. Ils permettent à l'utilisateur de choisir parmi 20 fonctionnalités préconstruites, comme la récupération des contacts, des emails, des données de la carte SD, ou l'accès à l'emplacement du mobile en utilisant le dispositif GPS. On peut même forcer la numérotation de n'importe quel numéro premium.

AFE est essentiellement écrit en PHP, Ruby, Bash et Python.

Les deux experts considèrent cet outil comme une option plus dévastatrice que la méthode "classique", qui requiert de prendre « une application légitime, la décompiler en utilisant APKTool ou Dex2Jar et JF-GUI, insérer nos codes, puis la redistribuer ». En effet, cet outil permet de masquer le malware en tant qu'application légitime, tels un explorateur de fichier, ou un jeu Tic Tac Toe, pour faciliter sa dissémination dans Google Play.

Après distribution, il ne reste plus qu'à tromper l'utilisateur pour l'amener à télécharger l'application via l'Android Marketplace, qui permet aux développeurs de publier des applications de façon anonyme.

Mais qu'est-ce qui pousse deux White Hats à mettre une telle plaie entre les mains des pirates en herbe ? Les chercheurs ne l'expliquent pas, en tout cas pas avant le ToorCamp.
Mais on se doute qu'ils fassent partie de ces nombreux chercheurs qui croient que Google pourrait mieux faire pour protéger les utilisateurs de sa plateforme.

Afin de détecter ces menaces, Google a pourtant mis en place en février dernier un mécanisme appelé Bouncer, conçu pour détecter automatiquement les comportements malveillants. Néanmoins, une présentation au Black Hat le mois dernier a permis d'illustrer par quelle facilité ce Bouncer peut être vaincu.

La semaine dernière, Google a aussi mis à jour le guide des développeurs d'applications Android publiées dans le Google Play, afin de contrer le problème des spams, des applications truquées et celles qui violent la vie privée. Les applications existantes seront supprimées en 30 jours, si leurs développeurs ne suivent pas la ligne directrice fixée par Google.

Espérons que ces mesures seront assez suffisantes pour protéger les utilisateurs d'Android.

Source : SCMagazine

Et vous ?

Que pensez-vous de la démarche et des motivations de ces deux chercheurs ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 06/08/2012 à 17:03
Citation Envoyé par Sylvaner Voir le message
Foutre le bordel ? Se faire un nom pour quelques mois ? Trouver un poste chez Google ?

En quoi donner l'accès à n'importe qui, la possibilité de foutre le bordel dans des téléphones peut être une avancée...

Bon google va devoir agir etc... Mais le problème, c'est tout les utilisateurs qui ne mettent pas à jour leurs smartphones (quelque soit le système d'exploitation de ce dernier).
mais il n'est pas toujours possible de mettre à jour son OS ! cela dépend du constructeur !
7  0 
Avatar de Bktero
Modérateur https://www.developpez.com
Le 07/08/2012 à 10:30
C'est toujours dommage de devoir laisser l'enfant mettre sa main sur la plaque de cuisson chaude pour qu'il comprenne une bonne fois pour toute qu'il ne faut pas la toucher.

C'est bien de forcer Google à faire plus pour la sécurité de l'OS, mais il faut aussi que les constructeurs se bougent pour fournir des mises à jour, comme vous l'avez dit. Je possède un téléphone Samsung et les mises à jour sont inexistantes. Je l'ai eu en Décembre 2010, avec Android 2.1. Au bout de 7 ou 8 mois, j'ai eu droit à Android 2.2 et j'y suis toujours. J'ai branché récemment mon téléphone au logiciel Kies de Samsung, il ne m'a pas proposé de mise à jour. Cela se passe de commentaire...
3  0 
Avatar de Sylvaner
Membre éprouvé https://www.developpez.com
Le 06/08/2012 à 17:22
Citation Envoyé par Paul TOTH Voir le message
mais il n'est pas toujours possible de mettre à jour son OS ! cela dépend du constructeur !
Je pense que Google a la possibilité de faire un peu de forcing comme la fois où ils ont fait une suppression d'une application malveillante sur tous les téléphones à distance.
Mais oui, le manque de suivi de certains constructeurs ne peut pas arranger le problème Mais bon, c'est cool, c'est des white-hat
2  0 
Avatar de SurferIX
Membre chevronné https://www.developpez.com
Le 10/08/2012 à 15:49
La seule chose qui m'interpelle dans tout ça, c'est le point de vue : c'est un peu comme si on disait "attention, on va sortir un couteau très coupant, des gens vont en profiter pour couper tout et n'importe quoi".

C'est juste un outil comme un autre, et, effectivement, il risque d'y avoir des abus, mais d'un autre côté, il y aura des grosses ouvertures qui vont aider le monde à progresser.

Moi, le couteau très coupant, je le vois plus comme un outil supplémentaire qu'une menace, mais chacun son point de vue...
2  0 
Avatar de kimimo
Membre du Club https://www.developpez.com
Le 06/08/2012 à 17:44
J'ai l'impression que ce nouveau framework est assez semblable à metasploit mais spécialisé pour Android.

Pour ceux qui ne connaissent pas, metasploit fait la même chose pour le web et desktop (d'ailleurs c'est peut être un fork spécialisé, je ne suis pas allé voir).

Bref, je pense que théoriquement c'est très dangereux mais qu'en pratique il n'y a pas vraiment de risques...
En tous cas, l'avantage c'est que ça met l'accent sur la sécurité et c'est toujours bénéfique !
1  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 07/08/2012 à 20:26
Mon smartphone a deux ans d'ancienneté en France (peut être plus à l'internationale) et il est toujours dans la même version d'Android qu'à la sortie usine car aucune maj n'est mise à disposition.
Google n'est pas le seul à devoir se bouger le cul, il faut que les constructeurs mettent à jour leur distribution ou bien qu'ils s'emmerdent pas à en faire... (car faut bien l'avouer c'est une fausse raison les drivers, ce qui les emmerdent en priorité ce serait de ne pouvoir mettre leur UI)
1  0 
Avatar de MiaowZedong
Membre extrêmement actif https://www.developpez.com
Le 06/08/2012 à 17:54
Le point noir de la sécurité sur Android restera toujours l'impossibilité de mettre à jour l'OS pour de nombreux utilisateurs.

À part ça, c'est comme le web "normal": il existe des antivirus pour Android, et il ne faut pas télécharger/cliquer tout ce qui semble beau et clignotant...
1  1 
Avatar de Tristan Zwingelstein
Membre régulier https://www.developpez.com
Le 06/08/2012 à 21:34
C'est le propre du libre de permettre à n'importe qui d'apporter des solutions innovantes et aussi d'être critique sur ces solutions. Pour moi cela ne reflète qu'une d'une critique constructive pour Google qui finira sans doute par embaucher ces deux experts talentueux ...
1  1 
Avatar de Médinoc
Expert éminent sénior https://www.developpez.com
Le 10/08/2012 à 20:43
En gros, ces types ont sorti "le kit du 'script kiddie' pour Android"?
0  0 
Avatar de Dominique49
Membre actif https://www.developpez.com
Le 11/08/2012 à 10:14
@SurferIX
Et à ton avis qu'es-ce qu'on pourrait faire d'utile avec un outil pareil ? évidement on peu trouver quelques fins honnêtes, mais je n'en vois pas des masses ... Je crois surtout qu'il y aura beaucoup plus d'abus que d'utilisation correcte ...
0  0