Android : Google publie un correctif pour la vulnérabilité
Touchant 99 % de smartphones sous l'OS

Le , par Hinault Romaric

0PARTAGES

0  0 
Mise à jour du 09/07/13

Google vient de publier un correctif d’urgence pour la faille de sécurité dévoilée la semaine dernière dans Android.

Présentée par le cabinet de sécurité Bluebox, cette faille touche près de 99 % de smartphones sous l’OS mobile de Google.

La vulnérabilité se situe au niveau de la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature. Les pirates peuvent donc l’exploiter pour transformer des applications officielles en Cheval de Troie pour dérober les données des utilisateurs ou contrôler leur terminal.




Le correctif mis au point par Google a été transmis aux constructeurs d’appareils, selon ZDNet.com, qui devront le répercuter sur les smartphones des consommateurs.

Certains constructeurs comme Samsung ont déjà commencé avec le déploiement de la mise à jour sur les périphériques Android, d’après le responsable de la communication chez Google, qui a expliqué qu’aucune preuve d’exploitation dans Google Play ou autres galeries d’applications n’a été découverte par ses outils d’analyse de sécurité.

Et vous ?

Avez-vous déjà reçu la mise à jour ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de nirgal76
Membre chevronné https://www.developpez.com
Le 09/07/2013 à 13:25
Bon courage à ceux qui fonctionne avec une ROM opérateur, sont pas prêt d'avoir la mise à jour.
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 09/07/2013 à 13:40
Avez-vous déjà reçu la mise à jour ?
Non, mais je sens que je vais l'appliquer moi même en passant sur Paranoid.
Avatar de YoyoS
Membre à l'essai https://www.developpez.com
Le 09/07/2013 à 13:53
Si je comprends bien la chose, cela ne change rien pour ceux qui autorisent déjà les archives apk ne provenant pas du Google Play sur leur téléphone.

Donc n'ayez pas peur. Après la mise à jour, vous pourrez toujours être infecté si vous choisissez d'installer n'importe quoi sur votre téléphone.
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 09/07/2013 à 13:56
Citation Envoyé par Hinault Romaric Voir le message
Avez-vous déjà reçu la mise à jour ?
Non, et il est même quasiment certain que je ne l'aurai pas non plus avec la prochaine mise à jour HTC qui est censée arriver sous peu... (pour HTC one)

D'ici la fin de l'année, je dirai au pif que moins de 10% des mobiles android auront ce patch...

Il faut absolument obliger les constructeurs à faire ces mise à jour de sécurité... L'Europe devrait faire quelque chose...
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 09/07/2013 à 14:33
Citation Envoyé par YoyoS Voir le message
Si je comprends bien la chose, cela ne change rien pour ceux qui autorisent déjà les archives apk ne provenant pas du Google Play sur leur téléphone.

Donc n'ayez pas peur. Après la mise à jour, vous pourrez toujours être infecté si vous choisissez d'installer n'importe quoi sur votre téléphone.
Sachant que 90% des utilisateurs ne connaissent ni cette option et ne sait pas ce qu'est une apk on peut en déduire que les 10% restant sont des utilisateurs avertis qui n'installeront pas n'importe quoi non plus. (chiffres sortis de mon chapeau magique).
Avatar de demenvil
Membre averti https://www.developpez.com
Le 09/07/2013 à 16:42
[..]cette faille touche près de 99 % de smartphones sous l’OS mobile de Google [..]
Bim la poutre que viens de manger Google là ! ^^
Avatar de kitachi
Candidat au Club https://www.developpez.com
Le 10/07/2013 à 8:30
Le correctif mis au point par Google a été transmis aux constructeurs d’appareils[...]
Le patch sera intégré dans la version 4.3 d'Android pour les Nexus ?
Ou vont-ils appliquer le correctif dans une mise à jour dédiée ?
Avatar de MRick
Membre du Club https://www.developpez.com
Le 10/07/2013 à 11:34
Cet article est intéressant, mais il manque une information essentielle :

Comment vérifier si on a bien le correctif ?

Quelles versions d'Android sont corrigées ?

Citation Envoyé par Hinault Romaric Voir le message

Et vous ?
Avez-vous déjà reçu la mise à jour ?
Et bien je dois dire que je n'en sais fichtre rien !

C'est bien ça qui m'inquiète, j'ai lu des informations contradictoires à droite et à gauche. Selon certaines sources j'ai déjà le correctif depuis quelques mois, et selon d'autre, je pense que je n'ai pas encore le correctif.

Pour info, j'ai un Nexus 4, avec Android 4.2.2, j'ai vérifié les mises à jours il y a quelques minutes et Google me dit que je suis à jour.

J'ai aussi un (vieux) Samsung Galaxy S sous Gingerbread, et je suis à peu près sûr qu'il n'est pas à jour. Je voudrais bien savoir si il existe un moyen de le mettre à jour sans passer pas une ré-installation complète de ROM non-officielle.
Avatar de Hinault Romaric
Responsable .NET https://www.developpez.com
Le 10/07/2013 à 13:41
Android : publication d’un exploit pour la faille touchant 99 % de terminaux
les constructeurs doivent se dépêcher pour déployer le correctif de Google

Google a publié hier aux constructeurs d’appareils un correctif pour une faille de sécurité touchant 99 % de smartphones sous l’OS mobile Android.

La faille peut être exploitée pour transformer des applications officielles en Cheval de Troie pour dérober les données des utilisateurs ou contrôler leur terminal.

Au vu de la lenteur des constructeurs pour déployer les mises à jour d’Android, il est peu probable que les utilisateurs reçoivent rapidement ce correctif.

Ceux-ci pouvaient néanmoins se réconforter du fait que la faille ne soit pas activement exploitée, car Google a déclaré qu’il n’avait découvert aucune preuve d’exploitation sur Google Play.




Symantec pour sa part, note qu’après l’analyse de quatre millions d’applications avec sa solution Norton Mobile Insight, aucune utilisation de façon malveillante de la faille n’a été découverte. Ce qui risque cependant de changer dans les jours à venir.

Un chercheur en sécurité a mis au point et publié sur GitHub une preuve de réalisation (proof of concept) qui permet de faire passer une application pour une autre.

Le code de l’exploit utilise l’outil « apktool » pour briser un fichier « APK » en fichiers lisibles que l’utilisateur peut modifier au besoin. Il crée ensuite un nouveau fichier APK avec le contenu de l’APK d’origine et les modifications apportées par l’utilisateur.

Un pirate pourrait donc récupérer une application légitime, exploiter ce PoC pour modifier l’application afin d’introduire un code malveillant et la régénérer sans toutefois briser sa signature de vérification.

Plus qu’à espérer que les constructeurs vont procéder rapidement au déploiement de la mise à jour auprès des utilisateurs.

Le code de l'exploit sur GitHub

Source : Description de l'exploit, Symantec
Avatar de nicroman
Expert éminent https://www.developpez.com
Le 11/07/2013 à 2:14
Oui... enfin il faut encore l'uploader sur le serveur google-play... Avec le même "package-name", donc avoir accès au compte du créateur originel et/ou accès dérobé aux serveurs google ....

Cela fait quand même beaucoup d'exploits pour utiliser une "faille" de l'apktools.

Après, il y a toujours les "unchecked" repositories, mais là, c'est de base très dangereux d'y chopper une appli. Donc cela ne change rien !
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web