Developpez.com

Le Club des Développeurs et IT Pro

Une faille critique dans Android affecterait 75% de terminaux

Elle a été qualifiée de « catastrophe pour la vie privée »

Le 2014-09-17 12:00:22, par Hinault Romaric, Responsable .NET
Android de nouveau sous le feu des projecteurs pour une faille critique pouvant affecter près de 75 % des utilisateurs de smartphones sous le système d’exploitation mobile. La faille permettrait d’accéder à l’ensemble des données de navigation d’un mobinaute (cookies, mots de passe, stockage local, etc.).

La faille toucherait le navigateur d’Android Open Source Project (AOSP). Elle a été découverte par le chercheur en sécurité Rafay Baloch en début de ce mois. La vulnérabilité se situerait au niveau de la façon dont le navigateur exécute du code JavaScript.

Généralement, les navigateurs sont conçus de telle sorte qu’ils sont capables d’isoler les scripts JavaScript d’un site Web de façon à ce qu’ils ne soient pas en mesure d’accéder au contenu d’un autre site. Les navigateurs le font en appliquant la Same Origin Policy (SOP). La Same Origin Policy restreint la manière dont un document ou un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine. Ainsi, les scripts peuvent lire et modifier uniquement les ressources partageant la même origine qu'eux. Le protocole, l’hôte et le port permettent de déterminer si deux pages ont la même source.

Le navigateur d’AOSP n’appliquerait pas la SOP, permettant ainsi aux scripts d’accéder sans restriction aux ressources d’autres sites. Ce manquement pourrait être exploité par un pirate pour injecter du code JavaScript malveillant dans d’autres sites Web. Ces scripts malveillants pourront à leur tour lire toutes les informations manipulées à partir de ces sites.

« Imaginez que vous visitez un site compromis alors que vous avez votre webmail ouvert dans une autre fenêtre. Le pirate pourra lire vos emails. Pire, il pourra récupérer une copie de vos cookies de session et détourner complètement votre session pour lire et écrire des mails en votre nom », alerte Rapid7, une entreprise de Boston spécialisée dans la sécurité des systèmes informatiques, dans un billet de blog.

La faille affecte toutes les versions d’Android, à l’exception d’Android 4.4 KitKat. Le navigateur d’AOSP est utilisé par défaut dans les anciennes versions d’Android, en dehors des versions ultérieures à Android 4.2, qui utilisent Chrome comme navigateur par défaut.

Rapid7 a déjà intégré un module à Metasploit pour permettre de détecter le problème. Pour rappel, Metasploit est un outil de développement et d'exécution d'exploit à distance. Pour les développeurs de Metasploit, cette faille est une « catastrophe pour la vie privée. »

Google aurait été informé du problème. La réaction de la firme est encore attendue.

Source : Rapid7

Et vous ?

Utilisez-vous une version d’Android vulnérable ? Quel navigateur utilisez-vous sous l’OS ?

Que pensez-vous de cette faille ?
  Discussion forum
30 commentaires
  • Guy_M
    Membre régulier
    J'utilise uniquement Firefox.

    Si le navigateur par défaut est bogué c'est une raison supplémentaire de le désinstaller.

    Malheureusement, avec Android, certaines applications sont impossibles (enfin presque) à désinstaller.
    le 17/09/2014 à 14:13
  • Aiekick
    Membre extrêmement actif
    Réponse de Google : "On est au courant, c'est la NSA qui nous a demandé cette faille"
    le 17/09/2014 à 15:44
  • atha2
    Membre éprouvé
    @Zefling : ou tu peux tout simplement installer un navigateur alternatif. ce n'est pas ce qui manque sur Android.
    Mais il doit y avoir une (énorme) faille dans leur process de validation pour laisser passer ça
    le 17/09/2014 à 13:47
  • eldran64
    Membre extrêmement actif
    [HS = on]
    A quand des smartphones dont on choisirait le matos indépendamment de l'OS (comme sur les pc)?
    [HS = off]

    Le plus simple reste de servir de chrome quand on est sous android.

    Sinon je plussoie: il existe une tonne de navigateur sous android et ils sont largement mieux que celui par défaut. Par ex: Chrome, Firefox.
    le 17/09/2014 à 15:07
  • Folgore
    Membre du Club
    normalement chrome est remplacé par le navigateur de base (enfin du moins sur les versions plus recentes d'android...)
    le 17/09/2014 à 14:34
  • Traroth2
    Membre émérite
    Envoyé par macslan
    Et voilà l'un des deux majeurs problèmes d'Android 1 les mises à jours sont longues à venir au client (Maj google -> Maj constructeur -> Maj opérateur -> client) et la gestions des autorisations pour une application soit tu accepte tout soit rien à l'install, alors qu'avec Apple tu peux, si je me trompe pas accepter un par un en tout temps chaque autorisations
    Opérateur ? Les mises à jour ne passent pas par l'opérateur. A moins peut-être d'acheter son smartphone chez un opérateur, mais qui fait encore ça ?
    le 17/09/2014 à 16:09
  • Mr_Exal
    Membre expert
    Envoyé par Zefling
    C'est bien, mais je ne peux pas mettre à jour... sauf racheter un nouveau smartphone.
    Je pense que si justement, c'est d'ailleurs là l'avantage d'Android.

    C'est quoi ton portable?

    Utilisez-vous une version d’Android vulnérable ? Quel navigateur utilisez-vous sous l’OS ?
    Non, 4.4.2 avec Firefox ou Orbot + son navigateur.

    Que pensez-vous de cette faille ?
    Sans surprise.

    Envoyé par macslan
    Et voilà l'un des deux majeurs problèmes d'Android 1 les mises à jours sont longues à venir au client (Maj google -> Maj constructeur -> Maj opérateur -> client) et la gestions des autorisations pour une application soit tu accepte tout soit rien à l'install, alors qu'avec Apple tu peux, si je me trompe pas accepter un par un en tout temps chaque autorisations
    Sauf que sur PommePhone tu ne peux pas :

    1) installer l'os que tu veux (Android modifié toi même ou par une team ou même encore Linux, ceci incluant les mises à jour bien entendu).

    2) Choisir toi même les autorisations que tu donnes ou pas à telle ou telle application.

    3) Personnaliser ton OS.

    4) Utiliser Tasker.

    5) Rooter en deux clics.

    6) Voir si ton clavier va taper une majuscule ou une minuscule (mais quelle connerie ce clavier de merde sur l'iphone !)

    7) utiliser le NFC comme tu veux

    8) Streamer ton contenu comme tu veux.

    9) utiliser Flash

    Je continue ?

    Envoyé par eldran64
    [HS = on]
    A quand des smartphones dont on choisirait le matos indépendamment de l'OS (comme sur les pc)?
    [HS = off]

    Le plus simple reste de servir de chrome quand on est sous android.

    Sinon je plussoie: il existe une tonne de navigateur sous android et ils sont largement mieux que celui par défaut. Par ex: Chrome, Firefox.
    Q1 2015 : Ara Project.
    le 17/09/2014 à 16:55
  • AoCannaille
    Expert confirmé
    Envoyé par Francois_C
    Après la faille heartbleed, introduite par un contributeur bénévole, je finis par me demander si le modèle Open Source auquel je suis attaché n'est pas en grand danger. Car ce qui est arrivé peut-être par hasard sur le code source OpenSSL pourrait avoir données des idées à d'autres, non ?
    Ce qu'il faut voir c'est la réactivité de la communauté à corriger et à diffuser la correction. Quand on voit que Apple était au courant de la faille aillant mené au "Fappening" plus de six mois avant et qu'ils ont volontairement ignoré l'alerte...

    Quel que soit le modèle il y aura des failles de sécurité. Le plus important c'est qu'elles soit corrigées vites.
    le 25/09/2014 à 18:33
  • Zefling
    Expert confirmé
    C'est bien, mais je ne peux pas mettre à jour... sauf racheter un nouveau smartphone.
    le 17/09/2014 à 13:21
  • 4sStylZ
    Membre éprouvé
    C'est une faille dans le navigateur par défaut alors, pas dans Android?
    le 17/09/2014 à 13:53
  Poster une réponse