Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Android : une faille permet de transformer les applications légitimes en cheval de Troie
99 % de terminaux sous l'OS affectés

Le , par Hinault Romaric

0PARTAGES

3  0 
Les chercheurs en sécurité du cabinet spécialisé dans la sécurité mobile BlueBox ont découvert une faille critique dans Android.

Cette vulnérabilité touche les versions d’Android sorties ces quatre dernières années (depuis Android 1.6 – Donut), ce qui représente 99 % de smarphones sous l’OS mobile.

Elle peut être exploitée par un pirate pour modifier le code d’un APK (package d’une application Android) légitime, sans casser sa signature cryptographique. Le pirate peut alors modifier n’importe quelle application légitime et la transformer en un cheval de Troie qui pourra être utilisé pour dérober les données d’un utilisateur (e-mail, SMS, documents, etc.), récupérer tous les mots de passe des services qui ont été stockés ou contrôler totalement son smartphone.

La faille proviendrait des différences dans la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature.


Bluebox prétend avoir informé Google sur l’exploit depuis février dernier, et que la firme aurait transféré l’information aux constructeurs. Mais à cause de la fragmentation de la plateforme et du retard des constructeurs dans la publication des mises à jour, un nombre important d’utilisateurs sont encore exposés.

Les détails sur la faille seront présentés lors de la conférence sur la sécurité Black Hat de Las Vegas, qui aura lieu à la fin de ce mois.

Bluebox conseille aux utilisateurs d’éviter les galeries d’applications non officielles et d’installer les applications uniquement à partir de Google Play, après avoir identifié l’éditeur.

Source : Bluebox

Et vous ?

Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de lochnar
Membre du Club https://www.developpez.com
Le 04/07/2013 à 14:50
<troll>
C'est pas une faille, c'est la backdoor pour la NSA...
</troll>
6  0 
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 09/07/2013 à 14:33
Citation Envoyé par YoyoS Voir le message
Si je comprends bien la chose, cela ne change rien pour ceux qui autorisent déjà les archives apk ne provenant pas du Google Play sur leur téléphone.

Donc n'ayez pas peur. Après la mise à jour, vous pourrez toujours être infecté si vous choisissez d'installer n'importe quoi sur votre téléphone.
Sachant que 90% des utilisateurs ne connaissent ni cette option et ne sait pas ce qu'est une apk on peut en déduire que les 10% restant sont des utilisateurs avertis qui n'installeront pas n'importe quoi non plus. (chiffres sortis de mon chapeau magique).
3  0 
Avatar de nirgal76
Membre chevronné https://www.developpez.com
Le 09/07/2013 à 13:25
Bon courage à ceux qui fonctionne avec une ROM opérateur, sont pas prêt d'avoir la mise à jour.
2  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 04/07/2013 à 17:20
J'ai lu le billet mais je cherche toujours à partir de quelle version d'Android ce défaut est corrigé...
Pourtant on croit lire que Google a averti les constructeurs en leur demandant de réagir pour mettre à disposition la mise à jour.
Mais quelle est cette mise à jour fantôme ?

@lochnar : Merci tu as fait ma journée !
1  0 
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 09/07/2013 à 13:40
Avez-vous déjà reçu la mise à jour ?
Non, mais je sens que je vais l'appliquer moi même en passant sur Paranoid.
1  0 
Avatar de getz85
Membre confirmé https://www.developpez.com
Le 19/07/2013 à 10:36
Citation Envoyé par transgohan Voir le message
Je vais peut être dire une bêtise mais je vois mal comment on peut avoir des privilèges super-utilisateurs avec une ROM constructeur (ou pire opérateur)...

Quelqu'un pour un éclaircissement ?
J'ai les droits super-utilisateurs, et j'ai gardé la ROM constructeur. Il suffit juste de rooter le téléphone, il y a énormément de tutos selon le téléphone pour faire ça. Rooter ton téléphone ne t'oblige pas à installer une ROM custom.
1  0 
Avatar de e101mk2
Membre confirmé https://www.developpez.com
Le 04/07/2013 à 14:44
Hum, c'est bien bizard qu'elle soit découverte que maintenant. Certain téléphone ne reçoit aucune maj depuis longtemps, ils ont du coup l'obligation de faire attention. Pour ma part, je pense que les constructeur onleur faute. Ils font tous la course au mobile les plus performants en oubliant les anciens modèle qui sont loin d'être obsolette. Sachant que sa concerne énormément de mobile, ils ont trop de pain sur la planche, et je pense guère que tous auront la maj...
Et si on est déjà infectée, comment éradique le cheval?
1  1 
Avatar de Bestel74
Membre confirmé https://www.developpez.com
Le 04/07/2013 à 14:48
Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?
Bof... Tant que le serveur "repository" n'est pas piraté la faille est bof, l'utilisateur qui n'utilise pas le google play est bof aussi, tout est bof

La réactivité n'est pas horrible, au vue de ce qu'il faut faire pour exploiter la faille ^^ non ?
0  0 
Avatar de pierre++
Membre actif https://www.developpez.com
Le 06/07/2013 à 16:47
Il existe énormément d'applications Android qui demandent des autorisations sans rapport avec les besoins de ces mêmes applications et très peu d'utilitaires permettant de surveiller ce que font réellement ces applications.
Si je me souviens bien google se réserve aussi le droit de récupérer toute les informations contenues dans le mobile (je suis sûr d'avoir lu ça quelque part, à vérifier néanmoins).
En gros en utilisant un mobile Android on est de toute façon sur écoute en permanence.
Je me trompe?
0  0 
Avatar de nicroman
Expert éminent https://www.developpez.com
Le 07/07/2013 à 1:51
Non... tu ne te trompe pas.... sauf que tu peux enlever "Android":

"En gros en utilisant un mobile on est de toute façon sur écoute en permanence."

La question n'est pas là...
On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.

C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....
0  0