Android : face à la lenteur des constructeurs, des chercheurs publient ReKey
Pour corriger la vulnérabilité touchant 99 % de smartphones
Le 2013-07-18 18:18:18, par Hinault Romaric, Responsable .NET
Le cabinet de sécurité Bluebox avait annoncé il y a quelques semaines la découverte d’une faille de sécurité critique dans Android, touchant toutes les versions de l’OS sorties ces quatre dernières années (depuis Android 1.6 jusqu’à la version actuelle).
La faille qui touche près de 99 % des terminaux sous l’OS mobile de Google peut être exploitée par des pirates pour transformer une application légitime en un cheval de Troie pour dérober les données ou contrôler le terminal, sans briser la signature de l’application.
La vulnérabilité se situe au niveau de la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature. Google a aussitôt mis à la disposition des constructeurs un correctif de sécurité pour la faille, dont le code d’un exploit a déjà été librement publié par un expert en sécurité.
Pourtant, les constructeurs tardent toujours dans la publication de la mise à jour aux consommateurs. Heureusement, les cabinets Duo Security et System Security Lab de la Northeastern University (NEU SecLab) ont mis au point une solution qui comble cette fissure dans Android.
« La sécurité des appareils Android dans le monde entier est paralysée par la lenteur des constructeurs et des opérateurs dans le déploiement des mises à jour », regrette Jon Oberheide, PDG de Duo Security.
L’application baptisée ReKey, injecte un bout de code dans la machine virtuelle Dalvik d’Android, pour corriger dynamiquement les classes ZipEntry et ZipFile afin de combler la faille. L’application nécessite cependant des privilèges assez élevés, et doit être installée en superutilisateur.
« ReKey est le dernier de nos projets de recherche visant à faire d’Internet un endroit sûr », explique Collin Mulliner, un chercheur de NEU SecLab. « Nous espérons que ReKey fournira un outil pratique pour protéger les utilisateurs. »
L’application est disponible sur Google Play.
Télécharger Rekey
Source : Duo Security
Et vous ?
Avez-vous déjà reçu une mise à jour pour cette faille ?
La faille qui touche près de 99 % des terminaux sous l’OS mobile de Google peut être exploitée par des pirates pour transformer une application légitime en un cheval de Troie pour dérober les données ou contrôler le terminal, sans briser la signature de l’application.
La vulnérabilité se situe au niveau de la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature. Google a aussitôt mis à la disposition des constructeurs un correctif de sécurité pour la faille, dont le code d’un exploit a déjà été librement publié par un expert en sécurité.
Pourtant, les constructeurs tardent toujours dans la publication de la mise à jour aux consommateurs. Heureusement, les cabinets Duo Security et System Security Lab de la Northeastern University (NEU SecLab) ont mis au point une solution qui comble cette fissure dans Android.
« La sécurité des appareils Android dans le monde entier est paralysée par la lenteur des constructeurs et des opérateurs dans le déploiement des mises à jour », regrette Jon Oberheide, PDG de Duo Security.
L’application baptisée ReKey, injecte un bout de code dans la machine virtuelle Dalvik d’Android, pour corriger dynamiquement les classes ZipEntry et ZipFile afin de combler la faille. L’application nécessite cependant des privilèges assez élevés, et doit être installée en superutilisateur.
« ReKey est le dernier de nos projets de recherche visant à faire d’Internet un endroit sûr », explique Collin Mulliner, un chercheur de NEU SecLab. « Nous espérons que ReKey fournira un outil pratique pour protéger les utilisateurs. »
L’application est disponible sur Google Play.
Source : Duo Security
Et vous ?
-
getz85Membre confirméJ'ai les droits super-utilisateurs, et j'ai gardé la ROM constructeur. Il suffit juste de rooter le téléphone, il y a énormément de tutos selon le téléphone pour faire ça. Rooter ton téléphone ne t'oblige pas à installer une ROM custom.le 19/07/2013 à 10:36
-
transgohanExpert éminentJe vais peut être dire une bêtise mais je vois mal comment on peut avoir des privilèges super-utilisateurs avec une ROM constructeur (ou pire opérateur)...
Quelqu'un pour un éclaircissement ?le 19/07/2013 à 10:18 -
nicromanExpert éminentIl y a aussi un autre moyen de ne pas être touché.... ne pas télécharger d'appli sur des app-store non vérifiés...
Pas besoin de root, pas besoin d'installer une appli en mode système....
Quant à "ROOTER" son téléphone il consiste juste à remplacer le kernel pour lui donner la commande "su" (en général SuperSU)... Cette opération est décrite en détail pour toutes les ROMs constructeurs (hélas, pas les ROMs opérateurs).le 19/07/2013 à 12:56