Des chercheurs découvrent des problèmes de sécurité dans le SDK Android
Pouvant entraîner un débordement de tampon

Le , par Francis Walter, Expert éminent sénior
Des chercheurs en sécurité ont découvert deux problèmes de sécurité dans les outils de développement Android (Android SDK). Lorsqu’ils sont combinés, ils peuvent permettre à un utilisateur sans privilège d'accéder au compte d'une personne qui utilise l'outil Android Debug Bridge (ADB) ».

Les deux problèmes relevés concernent trois composants d’ADB : ADB Daemon, ADB Server et ADB Client. ADB Daemon est l’outil de débogage utilisé par les appareils Android pour communiquer avec des périphériques. Il peut être contrôlé par l’utilisateur grâce au menu disponible dans les paramètres « Débogage USB ». ADB Server s’exécute sur la machine de développement. En ce qui concerne ADB Client, il est utilisé par les développeurs pour accéder à un périphérique Android.

Suite aux tests des chercheurs avec le SDK Android 18.0.1 sur un PC 64 bits disposant d’Ubuntu 12.04, ceux-ci ont découvert un problème de débordement de tampon (buffer overflow) et le manque des mécanismes de protection modernes lors de la compilation.

Les chercheurs expliquent qu’il n’existe aucun mécanisme de contrôle de l’authentification entre ADB Server et ADB Client. Conséquence : sur un système multiutilisateur, un pirate peut exécuter un serveur ADB malveillant et communiquer avec les appareils Android. Toute commande vers le serveur ADB pourra être exploitée pour entrainer un débordement de tampon sur le périphérique à l’origine de la requête.

Les chercheurs affirment également que lors des investigations pour exploiter cette faille, ils se sont rendu compte que le SDK Android ne dispose pas de deux mécanismes de protection modernes cruciaux à savoir : la protection de la pile non exécutable et la randomisation de la base binaire (Position Independent Execution).

Droidsec affirme avoir informé Google de la situation et transmis des correctifs à la société. Suite à la lenteur de la firme pour publier une mise à jour, ceux-ci ont décidé de divulguer publiquement la faille, dans l’intérêt des utilisateurs..

Les chercheurs estiment que ces problèmes de sécurités concernent toutes les versions du kit de développement Android.

Source : droidsec

Et vous ?

Qu'en pensez-vous ? Et du manque de réaction de Google ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil