Android de nouveau sous le feu des projecteurs pour une faille critique pouvant affecter près de 75 % des utilisateurs de smartphones sous le système d’exploitation mobile. La faille permettrait d’accéder à l’ensemble des données de navigation d’un mobinaute (cookies, mots de passe, stockage local, etc.).
La faille toucherait le navigateur d’Android Open Source Project (AOSP). Elle a été découverte par le chercheur en sécurité Rafay Baloch en début de ce mois. La vulnérabilité se situerait au niveau de la façon dont le navigateur exécute du code JavaScript.
Généralement, les navigateurs sont conçus de telle sorte qu’ils sont capables d’isoler les scripts JavaScript d’un site Web de façon à ce qu’ils ne soient pas en mesure d’accéder au contenu d’un autre site. Les navigateurs le font en appliquant la Same Origin Policy (SOP). La Same Origin Policy restreint la manière dont un document ou un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine. Ainsi, les scripts peuvent lire et modifier uniquement les ressources partageant la même origine qu'eux. Le protocole, l’hôte et le port permettent de déterminer si deux pages ont la même source.
Le navigateur d’AOSP n’appliquerait pas la SOP, permettant ainsi aux scripts d’accéder sans restriction aux ressources d’autres sites. Ce manquement pourrait être exploité par un pirate pour injecter du code JavaScript malveillant dans d’autres sites Web. Ces scripts malveillants pourront à leur tour lire toutes les informations manipulées à partir de ces sites.
« Imaginez que vous visitez un site compromis alors que vous avez votre webmail ouvert dans une autre fenêtre. Le pirate pourra lire vos emails. Pire, il pourra récupérer une copie de vos cookies de session et détourner complètement votre session pour lire et écrire des mails en votre nom », alerte Rapid7, une entreprise de Boston spécialisée dans la sécurité des systèmes informatiques, dans un billet de blog.
La faille affecte toutes les versions d’Android, à l’exception d’Android 4.4 KitKat. Le navigateur d’AOSP est utilisé par défaut dans les anciennes versions d’Android, en dehors des versions ultérieures à Android 4.2, qui utilisent Chrome comme navigateur par défaut.
Rapid7 a déjà intégré un module à Metasploit pour permettre de détecter le problème. Pour rappel, Metasploit est un outil de développement et d'exécution d'exploit à distance. Pour les développeurs de Metasploit, cette faille est une « catastrophe pour la vie privée. »
Google aurait été informé du problème. La réaction de la firme est encore attendue.
Source : Rapid7
Et vous ?
Utilisez-vous une version d’Android vulnérable ? Quel navigateur utilisez-vous sous l’OS ?
Que pensez-vous de cette faille ?
Une faille critique dans Android affecterait 75% de terminaux
Elle a été qualifiée de « catastrophe pour la vie privée »
Une faille critique dans Android affecterait 75% de terminaux
Elle a été qualifiée de « catastrophe pour la vie privée »
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !