Android : une faille permet de transformer les applications légitimes en cheval de Troie
99 % de terminaux sous l'OS affectés
Le 2013-07-04 12:10:13, par Hinault Romaric, Responsable .NET
Les chercheurs en sécurité du cabinet spécialisé dans la sécurité mobile BlueBox ont découvert une faille critique dans Android.
Cette vulnérabilité touche les versions d’Android sorties ces quatre dernières années (depuis Android 1.6 – Donut), ce qui représente 99 % de smarphones sous l’OS mobile.
Elle peut être exploitée par un pirate pour modifier le code d’un APK (package d’une application Android) légitime, sans casser sa signature cryptographique. Le pirate peut alors modifier n’importe quelle application légitime et la transformer en un cheval de Troie qui pourra être utilisé pour dérober les données d’un utilisateur (e-mail, SMS, documents, etc.), récupérer tous les mots de passe des services qui ont été stockés ou contrôler totalement son smartphone.
La faille proviendrait des différences dans la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature.
Bluebox prétend avoir informé Google sur l’exploit depuis février dernier, et que la firme aurait transféré l’information aux constructeurs. Mais à cause de la fragmentation de la plateforme et du retard des constructeurs dans la publication des mises à jour, un nombre important d’utilisateurs sont encore exposés.
Les détails sur la faille seront présentés lors de la conférence sur la sécurité Black Hat de Las Vegas, qui aura lieu à la fin de ce mois.
Bluebox conseille aux utilisateurs d’éviter les galeries d’applications non officielles et d’installer les applications uniquement à partir de Google Play, après avoir identifié l’éditeur.
Source : Bluebox
Et vous ?
Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?
Cette vulnérabilité touche les versions d’Android sorties ces quatre dernières années (depuis Android 1.6 – Donut), ce qui représente 99 % de smarphones sous l’OS mobile.
Elle peut être exploitée par un pirate pour modifier le code d’un APK (package d’une application Android) légitime, sans casser sa signature cryptographique. Le pirate peut alors modifier n’importe quelle application légitime et la transformer en un cheval de Troie qui pourra être utilisé pour dérober les données d’un utilisateur (e-mail, SMS, documents, etc.), récupérer tous les mots de passe des services qui ont été stockés ou contrôler totalement son smartphone.
La faille proviendrait des différences dans la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature.
Bluebox prétend avoir informé Google sur l’exploit depuis février dernier, et que la firme aurait transféré l’information aux constructeurs. Mais à cause de la fragmentation de la plateforme et du retard des constructeurs dans la publication des mises à jour, un nombre important d’utilisateurs sont encore exposés.
Les détails sur la faille seront présentés lors de la conférence sur la sécurité Black Hat de Las Vegas, qui aura lieu à la fin de ce mois.
Bluebox conseille aux utilisateurs d’éviter les galeries d’applications non officielles et d’installer les applications uniquement à partir de Google Play, après avoir identifié l’éditeur.
Source : Bluebox
Et vous ?
-
lochnarMembre régulier<troll>
C'est pas une faille, c'est la backdoor pour la NSA...
</troll>le 04/07/2013 à 14:50 -
Mr_ExalMembre expertSachant que 90% des utilisateurs ne connaissent ni cette option et ne sait pas ce qu'est une apk on peut en déduire que les 10% restant sont des utilisateurs avertis qui n'installeront pas n'importe quoi non plus. (chiffres sortis de mon chapeau magique).le 09/07/2013 à 14:33
-
nirgal76Membre chevronnéBon courage à ceux qui fonctionne avec une ROM opérateur, sont pas prêt d'avoir la mise à jour.le 09/07/2013 à 13:25
-
transgohanExpert éminentJ'ai lu le billet mais je cherche toujours à partir de quelle version d'Android ce défaut est corrigé...
Pourtant on croit lire que Google a averti les constructeurs en leur demandant de réagir pour mettre à disposition la mise à jour.
Mais quelle est cette mise à jour fantôme ?
@lochnar : Merci tu as fait ma journée !le 04/07/2013 à 17:20 -
Mr_ExalMembre expertAvez-vous déjà reçu la mise à jour ?le 09/07/2013 à 13:40
-
getz85Membre confirméJ'ai les droits super-utilisateurs, et j'ai gardé la ROM constructeur. Il suffit juste de rooter le téléphone, il y a énormément de tutos selon le téléphone pour faire ça. Rooter ton téléphone ne t'oblige pas à installer une ROM custom.le 19/07/2013 à 10:36
-
e101mk2Membre éclairéHum, c'est bien bizard qu'elle soit découverte que maintenant. Certain téléphone ne reçoit aucune maj depuis longtemps, ils ont du coup l'obligation de faire attention. Pour ma part, je pense que les constructeur onleur faute. Ils font tous la course au mobile les plus performants en oubliant les anciens modèle qui sont loin d'être obsolette. Sachant que sa concerne énormément de mobile, ils ont trop de pain sur la planche, et je pense guère que tous auront la maj...
Et si on est déjà infectée, comment éradique le cheval?le 04/07/2013 à 14:44 -
Bestel74Membre confirméQu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?
La réactivité n'est pas horrible, au vue de ce qu'il faut faire pour exploiter la faille ^^ non ?le 04/07/2013 à 14:48 -
pierre++Membre actifIl existe énormément d'applications Android qui demandent des autorisations sans rapport avec les besoins de ces mêmes applications et très peu d'utilitaires permettant de surveiller ce que font réellement ces applications.
Si je me souviens bien google se réserve aussi le droit de récupérer toute les informations contenues dans le mobile (je suis sûr d'avoir lu ça quelque part, à vérifier néanmoins).
En gros en utilisant un mobile Android on est de toute façon sur écoute en permanence.
Je me trompe?le 06/07/2013 à 16:47 -
nicromanExpert éminentNon... tu ne te trompe pas.... sauf que tu peux enlever "Android":
"En gros en utilisant un mobile on est de toute façon sur écoute en permanence."
La question n'est pas là...
On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.
C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....le 07/07/2013 à 1:51