Une faille plutôt embarrassante sur certains HTC qui permet aux développeurs tiers d’avoir accès aux clés WiFi.
HTC vient de confirmer qu’une faille atteignait certains de ses smartphones Android. Il est en effet possible pour les développeurs tiers (avec le SDK d’Android uniquement) d’obtenir les clés des différents hotspots WiFi que le téléphone possède en mémoire. L’exploitation de cette faille est un jeu d’enfant…
Il faut pour cela que l’application utilise la permission android.permission.ACCESS_WIFI_STATE, qui autorise normalement à avoir des informations restreintes sur les réseaux WiFi : adresse IP, SSID, BSSID, adresse mac… Mais sur les HTC, en appelant le toString() de la classe WifiInfo, on peut voir les différents mots de passe. En temps normal, le champs devrait être grisé ou afficher des étoiles. Cette découverte n’est pas nouvelle, car des chercheurs travaillent avec Google et HTC depuis le mois de septembre !
Il n’y a toutefois pas de craintes à avoir si vous utilisez l’Android Market. En effet, Google scanne les applications de sa boutique pour éviter qu’elles ne contiennent des malwares, et cette vulnérabilité en fait partie. En revanche, si vous utilisez d’autres plateformes (légales ou non), vous vous mettez potentiellement en danger. Il faut toutefois relativiser la situation, car obtenir une clé WiFi n’aura quasiment aucune conséquence. Il faudra que le pirate se déplace et utilise le mot de passe…
Si votre smartphone fait partie de cette liste, vérifiez que vous possédez bien un numéro de build supérieur à celui-ci, car la vulnérabilité est corrigée :
- Desire HD – Versions FRG83D, GRI40
- Glacier – Version FRG83
- Droid Incredible – Version FRF91
- Thunderbolt 4G – Version FRG83D
- Sensation Z710e – Version GRI40
- Sensation 4G – Version GRI40
- Desire S – Version GRI40
- EVO 3D – Version GRI40
- EVO 4G – Version GRI40
Si vous devez faire une installation manuelle, HTC fournira prochainement des explications sur cette page.
Source : H Online
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
+1. Encore un article FrAndroid que je ne comprends pas : En lisant l'article, on apprend que : - une faille de sécurité a été découverte pour certains smartphones HTC - HTC est au courant de la faille (depuis septembre) - HTC a corrigé et émis une màj corrective - le market scanne les applis susceptibles d'exploiter la faille - de toute façon :"obtenir une clé WiFi n’aura quasiment aucune conséquence. Il faudra que le pirate se déplace et utilise le mot de passe…" Quel est donc l'intérêt de titrer un article de cette façon : "Certains smartphones HTC donnent accès aux clés WiFi aux applications tierces" ? Je commence sérieusement à mettre en doute l'impartialité de ce site... Vous êtes sponsorisés par une autre marque (j'en ai une bien précise en tête), ou vous devenez simplement des fanboys? Suis-je le seul à me poser la question ?
C'est l’hôpital qui se fout de la charité !
on ne traite jamais les'gens de cons quelue soit la raison
Que soit exact ou pas ne change rien ce qui change c'est la manière de s'exprimer, un exemple de la vie courante: on appelle pas les gens cons ou stupides quand ils font une ou des erreurs (par d’inattention ou par fatigue..) sauf si on veut vraiment les rabaissés. Les 4 mois sont pour l'annonce est non pour le correctifs, les mises jours ont été déployer bien avant, et il faut noter aussi que comme toutes entreprise IT qui se respecte, on ne développe pas un correctif sans le tester et le passer par un processus d'essais rigoureux pour ne pas avoir de problème d'incompatibilité...ect ces processus peuvent prendre quelques semaines voir quelques mois, et comme je l'ai dit, il est mieux d'avouer et de chercher à corriger les problèmes que de faire la sourdes oreilles comme plein d'autres entreprises l'ont fait et font toujours.
Bah le fait est que c'est exact. Transformer "Une faille plutôt embarrassante sur certains HTC qui permet aux développeurs tiers d’avoir accès aux clés WiFi." En "Une vulnérabilité a été découverte et corrigée par HTC, elle aurait pu permettre à des développeurs malintentionnés de compromettre des données" C'est le travail du chargé de communication de HTC, pas celui d'un blogueur. La faille est tout de même restée sans correction depuis 4 mois, et elle existe peut être depuis bien plus longtemps. Quand on sait la réactivité des constructeurs puis des opérateurs pour sortir une version, il y a de quoi être embarassé...
Je ne critique pas le faite qu'un article soit écrit pour informer le publique, mais je critique la façon avec laquelle il est rédigé au du moins les premières phrases de l'article. notamment : "Une faille plutôt embarrassante sur certains HTC qui permet aux développeurs tiers d’avoir accès aux clés WiFi."
C'est vrai que ceux qui ne lisent pas les communiqués de la marque qui a fait leurs téléphones doivent être extrêmement peu nombreux. On sait aussi que toutes les mises à jour sont installées par tout le monde très rapidement! Et ceux qui utilisent des ROMs custom issues d'anciens builds n'ont pas besoin d'être protégés des failles, ce sont de sales pirates! Plus sérieusement, diffuser une info publique n'a rien a voir avec la ridiculisation de qui que ce soit (surtout si elle a été corrigée). Par contre on peux envisager que certains prendront connaissance de la faille et auront une moins bonne image de la marque en toute connaissance de cause, et ce sera mérité vu que après tout, ils sont à l'origine de la faille.
L'article d'origine en anglais indique que cette liste et celle des numéros de version d'appareils affectés par le problème mais que pour la plupart ces appareils ont reçu une OTA, mais que pour ceux qui ne l'ont pas eu, une page web sur le site HTC sera mise à disposition avec les instructions pour une mise à jour manuelle courant de la semaine prochaine. Seulement à cela deux questions : - De quel numéro de version s'agit-il ? sur mon Desire S je n'ai rien d'approchant. - Qu'en est-il des appareils avec surcouche Orange/SFR/Bouygues ? car s'il s'agit d'une mise à jour par OTA de la part d'HTC, cela n'affectera probablement que les appareils sans surcouche et ça m'étonnerai que les opérateurs se cassent le c.. à faire une mise à jour juste pour ça.
"Si votre smartphone fait partie de cette liste, vérifiez que vous possédez bien ce numéro de build, car la vulnérabilité est corrigée"Clubic dit l'inverse :"Cette vulnérabilité se trouve, entre autres, au sein des smartphones...(même liste que la votre)"
Le Wildfire S n'est pas atteint par le problème
et sur Windows, Mac. ou Linux avec certain application on arrive pas trouver ses clé ou ses mot de passer n'importe quoi.
Quels sont les consignes à suivre pour sécuriser un WildFire S ??
Je ne comprend pas trop votre article (car vous ridiculisez HTC alors qu'ils ont deja resolu le problème comme vous le mentioner en fin d'article), le problème en soit même a été découvert en Septembre 2011, et HTC a déjà depuis mis à jour ses smartphone pour résoudre le problème. Dans son communiqué, HTC affirme qu'il y a eu un problème de sécurité liée au Wifi et demande à ses clients de bien vérifier s'ils ont bien fait la mise à jour contrairement à pleins d'autre fabricant
Perso j'ai un desire HD et je n'ai rien qui ressemble à une version du build commençant par FRG ou GRI.... Pour moi c'est du 3.12.405.1 et derrière CL..... release Keys, c'est tout...
Je n ai aucune confiance en google pour controler les applications du market sur ce point. Est ce que google réalisé une vérification si précise du code ? J en doute.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix