Une faille critique dans Android affecterait 75% de terminaux
Elle a été qualifiée de « catastrophe pour la vie privée »

Le , par Hinault Romaric

0PARTAGES

4  0 
Android de nouveau sous le feu des projecteurs pour une faille critique pouvant affecter près de 75 % des utilisateurs de smartphones sous le système d’exploitation mobile. La faille permettrait d’accéder à l’ensemble des données de navigation d’un mobinaute (cookies, mots de passe, stockage local, etc.).

La faille toucherait le navigateur d’Android Open Source Project (AOSP). Elle a été découverte par le chercheur en sécurité Rafay Baloch en début de ce mois. La vulnérabilité se situerait au niveau de la façon dont le navigateur exécute du code JavaScript.

Généralement, les navigateurs sont conçus de telle sorte qu’ils sont capables d’isoler les scripts JavaScript d’un site Web de façon à ce qu’ils ne soient pas en mesure d’accéder au contenu d’un autre site. Les navigateurs le font en appliquant la Same Origin Policy (SOP). La Same Origin Policy restreint la manière dont un document ou un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine. Ainsi, les scripts peuvent lire et modifier uniquement les ressources partageant la même origine qu'eux. Le protocole, l’hôte et le port permettent de déterminer si deux pages ont la même source.

Le navigateur d’AOSP n’appliquerait pas la SOP, permettant ainsi aux scripts d’accéder sans restriction aux ressources d’autres sites. Ce manquement pourrait être exploité par un pirate pour injecter du code JavaScript malveillant dans d’autres sites Web. Ces scripts malveillants pourront à leur tour lire toutes les informations manipulées à partir de ces sites.

« Imaginez que vous visitez un site compromis alors que vous avez votre webmail ouvert dans une autre fenêtre. Le pirate pourra lire vos emails. Pire, il pourra récupérer une copie de vos cookies de session et détourner complètement votre session pour lire et écrire des mails en votre nom », alerte Rapid7, une entreprise de Boston spécialisée dans la sécurité des systèmes informatiques, dans un billet de blog.

La faille affecte toutes les versions d’Android, à l’exception d’Android 4.4 KitKat. Le navigateur d’AOSP est utilisé par défaut dans les anciennes versions d’Android, en dehors des versions ultérieures à Android 4.2, qui utilisent Chrome comme navigateur par défaut.

Rapid7 a déjà intégré un module à Metasploit pour permettre de détecter le problème. Pour rappel, Metasploit est un outil de développement et d'exécution d'exploit à distance. Pour les développeurs de Metasploit, cette faille est une « catastrophe pour la vie privée. »

Google aurait été informé du problème. La réaction de la firme est encore attendue.

Source : Rapid7

Et vous ?

Utilisez-vous une version d’Android vulnérable ? Quel navigateur utilisez-vous sous l’OS ?

Que pensez-vous de cette faille ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Guy_M
Membre régulier https://www.developpez.com
Le 17/09/2014 à 14:13
J'utilise uniquement Firefox.

Si le navigateur par défaut est bogué c'est une raison supplémentaire de le désinstaller.

Malheureusement, avec Android, certaines applications sont impossibles (enfin presque) à désinstaller.
4  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 17/09/2014 à 15:44
Réponse de Google : "On est au courant, c'est la NSA qui nous a demandé cette faille"
4  0 
Avatar de atha2
Membre éprouvé https://www.developpez.com
Le 17/09/2014 à 13:47
@Zefling : ou tu peux tout simplement installer un navigateur alternatif. ce n'est pas ce qui manque sur Android.
Mais il doit y avoir une (énorme) faille dans leur process de validation pour laisser passer ça
2  0 
Avatar de eldran64
Membre éclairé https://www.developpez.com
Le 17/09/2014 à 15:07
[HS = on]
A quand des smartphones dont on choisirait le matos indépendamment de l'OS (comme sur les pc)?
[HS = off]

Le plus simple reste de servir de chrome quand on est sous android.

Sinon je plussoie: il existe une tonne de navigateur sous android et ils sont largement mieux que celui par défaut. Par ex: Chrome, Firefox.
2  0 
Avatar de Folgore
Membre du Club https://www.developpez.com
Le 17/09/2014 à 14:34
normalement chrome est remplacé par le navigateur de base (enfin du moins sur les versions plus recentes d'android...)
1  0 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 17/09/2014 à 16:09
Citation Envoyé par macslan Voir le message
Et voilà l'un des deux majeurs problèmes d'Android 1 les mises à jours sont longues à venir au client (Maj google -> Maj constructeur -> Maj opérateur -> client) et la gestions des autorisations pour une application soit tu accepte tout soit rien à l'install, alors qu'avec Apple tu peux, si je me trompe pas accepter un par un en tout temps chaque autorisations
Opérateur ? Les mises à jour ne passent pas par l'opérateur. A moins peut-être d'acheter son smartphone chez un opérateur, mais qui fait encore ça ?
1  0 
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 17/09/2014 à 16:55
Citation Envoyé par Zefling Voir le message
C'est bien, mais je ne peux pas mettre à jour... sauf racheter un nouveau smartphone.
Je pense que si justement, c'est d'ailleurs là l'avantage d'Android.

C'est quoi ton portable?

Utilisez-vous une version d’Android vulnérable ? Quel navigateur utilisez-vous sous l’OS ?
Non, 4.4.2 avec Firefox ou Orbot + son navigateur.

Que pensez-vous de cette faille ?
Sans surprise.

Citation Envoyé par macslan Voir le message
Et voilà l'un des deux majeurs problèmes d'Android 1 les mises à jours sont longues à venir au client (Maj google -> Maj constructeur -> Maj opérateur -> client) et la gestions des autorisations pour une application soit tu accepte tout soit rien à l'install, alors qu'avec Apple tu peux, si je me trompe pas accepter un par un en tout temps chaque autorisations
Sauf que sur PommePhone tu ne peux pas :

1) installer l'os que tu veux (Android modifié toi même ou par une team ou même encore Linux, ceci incluant les mises à jour bien entendu).

2) Choisir toi même les autorisations que tu donnes ou pas à telle ou telle application.

3) Personnaliser ton OS.

4) Utiliser Tasker.

5) Rooter en deux clics.

6) Voir si ton clavier va taper une majuscule ou une minuscule (mais quelle connerie ce clavier de merde sur l'iphone !)

7) utiliser le NFC comme tu veux

8) Streamer ton contenu comme tu veux.

9) utiliser Flash

Je continue ?

Citation Envoyé par eldran64 Voir le message
[HS = on]
A quand des smartphones dont on choisirait le matos indépendamment de l'OS (comme sur les pc)?
[HS = off]

Le plus simple reste de servir de chrome quand on est sous android.

Sinon je plussoie: il existe une tonne de navigateur sous android et ils sont largement mieux que celui par défaut. Par ex: Chrome, Firefox.
Q1 2015 : Ara Project.
1  0 
Avatar de AoCannaille
Membre émérite https://www.developpez.com
Le 25/09/2014 à 18:33
Citation Envoyé par Francois_C Voir le message
Après la faille heartbleed, introduite par un contributeur bénévole, je finis par me demander si le modèle Open Source auquel je suis attaché n'est pas en grand danger. Car ce qui est arrivé peut-être par hasard sur le code source OpenSSL pourrait avoir données des idées à d'autres, non ?
Ce qu'il faut voir c'est la réactivité de la communauté à corriger et à diffuser la correction. Quand on voit que Apple était au courant de la faille aillant mené au "Fappening" plus de six mois avant et qu'ils ont volontairement ignoré l'alerte...

Quel que soit le modèle il y aura des failles de sécurité. Le plus important c'est qu'elles soit corrigées vites.
1  0 
Avatar de Zefling
Membre expert https://www.developpez.com
Le 17/09/2014 à 13:21
C'est bien, mais je ne peux pas mettre à jour... sauf racheter un nouveau smartphone.
0  0 
Avatar de 4sStylZ
Membre éclairé https://www.developpez.com
Le 17/09/2014 à 13:53
C'est une faille dans le navigateur par défaut alors, pas dans Android?
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web