Une faille Android permet de contourner le VPN
Et de récupérer des données en texte clair

Le , par Stéphane le calme, Chroniqueur Actualités
Il y a trois semaines, des chercheurs de l’université Ben Gourion, à Negev en Israël, ont mis à jour une vulnérabilité dans le coffre-fort électronique Knox proposé par Samsung. Après une investigation menée de concert avec Google, Samsung a tiré des conclusions qui ont dédouané sa solution.

Vendredi dernier, la même équipe a découvert une vulnérabilité semblable et qui affecte Android 4.3. « Cette vulnérabilité permet à des applications malicieuses de contourner la configuration VPN active (pas de permission root requise) et de rediriger les communications de données vers une adresse réseau différente. Ces communications sont saisies en texte clair (pas de chiffrement), laissant l'information complètement exposée. Cette redirection peut avoir lieu sans que l'utilisateur en soit conscient, celui-ci pensant que ses données sont chiffrées et sécurisées. » explique dans un billet blog, Dudu Mimran, directeur de la technologie Cyber ​​Security.

Dans une vidéo, il a démontré comment une application malveillante peut être utilisée par un attaquant pour détourner (en texte clair) un courriel envoyé depuis le téléphone.


« Les applications qui nécessitent généralement VPN, ou d'y avoir accès, sont des applications bancaires », explique Jeffrey Ingalsbe, directeur du Centre pour la Cyber ​​sécurité et du renseignement à l'Université Mercy de Detroit. Certaines applications de messagerie sauront également vous connecter via un VPN. « C'est un gros problème parce que d'un, les gens ne sont pas informés de cette menace, de deux parce que les applications qui les utilisent contiennent vraiment des informations importantes », poursuit-il.

Source : blog officiel

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de tontonnux tontonnux - Membre expérimenté https://www.developpez.com
le 23/01/2014 à 9:39
Si le problème est présent sur 4.3 mais corrigé sur 4.4 (quelqu'un pour confirmer/corriger ?), on reste encore et toujours dans le même cercle vicieux...
Oui des failles seront toujours trouvées... d'où l'urgence de systématiser les mise à jours des mobiles.
Offres d'emploi IT
Ingénieur Réseaux H/F
EXPERIS IT - Provence Alpes Côte d'Azur - Nice (06000)
Ingénieur développeur c#/.net (h/f)
Team Trade - Ile de France - IDF
Chef de projets senior H/F
Hachette Livre - Ile de France - Île-de-France

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil