Newsletter Developpez.com

Inscrivez-vous gratuitement au Club pour recevoir
la newsletter hebdomadaire des développeurs et IT pro

Une faille critique dans Android affecterait 75% de terminaux
Elle a été qualifiée de « catastrophe pour la vie privée »

Le , par Hinault Romaric, Responsable .NET
Android de nouveau sous le feu des projecteurs pour une faille critique pouvant affecter près de 75 % des utilisateurs de smartphones sous le système d’exploitation mobile. La faille permettrait d’accéder à l’ensemble des données de navigation d’un mobinaute (cookies, mots de passe, stockage local, etc.).

La faille toucherait le navigateur d’Android Open Source Project (AOSP). Elle a été découverte par le chercheur en sécurité Rafay Baloch en début de ce mois. La vulnérabilité se situerait au niveau de la façon dont le navigateur exécute du code JavaScript.

Généralement, les navigateurs sont conçus de telle sorte qu’ils sont capables d’isoler les scripts JavaScript d’un site Web de façon à ce qu’ils ne soient pas en mesure d’accéder au contenu d’un autre site. Les navigateurs le font en appliquant la Same Origin Policy (SOP). La Same Origin Policy restreint la manière dont un document ou un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine. Ainsi, les scripts peuvent lire et modifier uniquement les ressources partageant la même origine qu'eux. Le protocole, l’hôte et le port permettent de déterminer si deux pages ont la même source.

Le navigateur d’AOSP n’appliquerait pas la SOP, permettant ainsi aux scripts d’accéder sans restriction aux ressources d’autres sites. Ce manquement pourrait être exploité par un pirate pour injecter du code JavaScript malveillant dans d’autres sites Web. Ces scripts malveillants pourront à leur tour lire toutes les informations manipulées à partir de ces sites.

« Imaginez que vous visitez un site compromis alors que vous avez votre webmail ouvert dans une autre fenêtre. Le pirate pourra lire vos emails. Pire, il pourra récupérer une copie de vos cookies de session et détourner complètement votre session pour lire et écrire des mails en votre nom », alerte Rapid7, une entreprise de Boston spécialisée dans la sécurité des systèmes informatiques, dans un billet de blog.

La faille affecte toutes les versions d’Android, à l’exception d’Android 4.4 KitKat. Le navigateur d’AOSP est utilisé par défaut dans les anciennes versions d’Android, en dehors des versions ultérieures à Android 4.2, qui utilisent Chrome comme navigateur par défaut.

Rapid7 a déjà intégré un module à Metasploit pour permettre de détecter le problème. Pour rappel, Metasploit est un outil de développement et d'exécution d'exploit à distance. Pour les développeurs de Metasploit, cette faille est une « catastrophe pour la vie privée. »

Google aurait été informé du problème. La réaction de la firme est encore attendue.

Source : Rapid7

Et vous ?

Utilisez-vous une version d’Android vulnérable ? Quel navigateur utilisez-vous sous l’OS ?

Que pensez-vous de cette faille ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Zefling Zefling - Membre émérite https://www.developpez.com
le 17/09/2014 à 13:21
C'est bien, mais je ne peux pas mettre à jour... sauf racheter un nouveau smartphone.
Avatar de macslan macslan - Membre éclairé https://www.developpez.com
le 17/09/2014 à 13:37
Et voilà l'un des deux majeurs problèmes d'Android 1 les mises à jours sont longues à venir au client (Maj google -> Maj constructeur -> Maj opérateur -> client) et la gestions des autorisations pour une application soit tu accepte tout soit rien à l'install, alors qu'avec Apple tu peux, si je me trompe pas accepter un par un en tout temps chaque autorisations
Avatar de atha2 atha2 - Membre éprouvé https://www.developpez.com
le 17/09/2014 à 13:47
@Zefling : ou tu peux tout simplement installer un navigateur alternatif. ce n'est pas ce qui manque sur Android.
Mais il doit y avoir une (énorme) faille dans leur process de validation pour laisser passer ça
Avatar de 4sStylZ 4sStylZ - Membre confirmé https://www.developpez.com
le 17/09/2014 à 13:53
C'est une faille dans le navigateur par défaut alors, pas dans Android?
Avatar de valkirys valkirys - Membre expérimenté https://www.developpez.com
le 17/09/2014 à 13:57
Citation Envoyé par 4sStylZ  Voir le message
C'est une faille dans le navigateur par défaut alors, pas dans Android?

[THEORIEDUCOMPLOT=ON]
C'est pour forcer les utilisateurs à aller sous chrome
[THEORIEDUCOMPLOT=OFF]
Avatar de Guy_M Guy_M - Membre du Club https://www.developpez.com
le 17/09/2014 à 14:13
J'utilise uniquement Firefox.

Si le navigateur par défaut est bogué c'est une raison supplémentaire de le désinstaller.

Malheureusement, avec Android, certaines applications sont impossibles (enfin presque) à désinstaller.
Avatar de Folgore Folgore - Membre du Club https://www.developpez.com
le 17/09/2014 à 14:34
normalement chrome est remplacé par le navigateur de base (enfin du moins sur les versions plus recentes d'android...)
Avatar de eldran64 eldran64 - Membre averti https://www.developpez.com
le 17/09/2014 à 15:07
[HS = on]
A quand des smartphones dont on choisirait le matos indépendamment de l'OS (comme sur les pc)?
[HS = off]

Le plus simple reste de servir de chrome quand on est sous android.

Sinon je plussoie: il existe une tonne de navigateur sous android et ils sont largement mieux que celui par défaut. Par ex: Chrome, Firefox.
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 17/09/2014 à 15:07
J'avoue que je ne comprends pas. Le navigateur par défaut d'Android est vraiment mauvais, mais ce n'est pas grave, parce que Google fournit par ailleurs gratuitement un des meilleurs navigateurs mobiles existant, Chrome. Je pose donc la question : mais qu'attend Google pour liquider une fois pour toute le navigateur par défaut et pour fournir Chrome à la place, en standard dans Android ? Si c'est une question de licence (Chrome n'est pas open-source), on doit sûrement pouvoir faire un Chromium pour Android ou un truc approchant...

Personnellement, je n'utilise que Firefox, la version Android étant tout à fait géniale. Mais de toutes façons, le navigateur par défaut d'Android, c'est un peu comme Internet Exploder sur Windows : je m'en sers une fois, pour downloader Firefox.
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 17/09/2014 à 15:44
Réponse de Google : "On est au courant, c'est la NSA qui nous a demandé cette faille"
Offres d'emploi IT
Ingénieur web java play! H/F
EXTERNATIC - Pays de la Loire - Nantes (44000)
Ingenieur linux h/f
Adequat Tertiaire - Rhône Alpes - Lyon (69000)
Devops H/F
Dolmen Technologies - Bretagne - Rennes (35000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil