Une attaque affecte le navigateur d’Android 2.1 et ses versions antérieures.
M.J. Keith, un chercheur en sécurité vient de mettre en ligne un code qui cible le navigateur par défaut d’Android 2.1-. Cette attaque permet d’accéder à la ligne de commande (shell) du terminal, lorsque le mobinaute se rend sur un site avec ce code.
Ce bug affecte en réalité le moteur de rendu du navigateur : WebKit, également utilisé dans Safari ou Chrome.
Google est au courant de cette vulnérabilité :
« Nous sommes au courant d’un problème dans WebKit qui pourrait affecter seulement les vieilles versions du navigateur d’Android.
Le problème ne touche pas Android 2.2 et les versions supérieures »
Mais Google oublie de préciser, que selon ses propres statistiques, Android 2.2 ne représente que 36,2% des terminaux. Cela veut donc dire que 63,8% des terminaux sont concernés, le problème est donc sérieux.
De par l’architecture d’Android, le code malicieux ne peut accéder qu’aux éléments que le navigateur peut lire/écrire. Par exemple, il ne pourra ni envoyer un sms, ni passer un appel. En revanche, le navigateur peut accéder à la carte SD et le code pourrait envoyer des photos sur un serveur, ou même supprimer certains fichiers.
En attendant un éventuel correctif, il est conseillé d’utiliser un navigateur comme Opera Mini qui utilise un autre moteur de rendu.
Source : ComputerWorld
Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Je me permets de vous poser une question j'ai un ordinateur un netbook umpc-1020 ram j'ai voulu refaire une configuration d'usine l'ordinateur est bloqué sur la configuration impossible de l'utiliser pourriez-vous m'aider je vous remercie
Bonjour bonjour, juste une petite réflexion: j'ai HTC Desire sous Orange, donc pas de mise à jour possible apparemment si il y a un patch.....
@Flo et met toi t'es con ou t'es con ? xD
Les pilotes matériels ne sont pas compatibles d'une version Android à une autre ? Je suppose également que les composants ne sont pas montés sur un seul téléphone, les pilotes peuvent donc être partagés ... Ce que je ne comprends pas c'est pourquoi il est si compliqué de mettre à jour les téléphones (qui n'ont pas d'interfaces personnalisées bien sûr). Pourquoi ne pas faire des "packs de pilotes" pour un téléphone et ainsi pouvoir proposer une ROM standard à installer ...
Google pourrait aussi mettre sur navigateur sur le Market, au moins on aurait tous les mise à jour, android 2.2 ou pas
Il y a des chances de rien du tout: les acheteur, en majorité, ne savent même pas à quoi servent les maj et s'en foute royalement... Il n'y a que lorsqu'ils chopent un virus qu'ils commence à réaliser... Sinon c'est à google je pense de trouver une solution. Je sais que les constructeurs pourraient se bouger le cul... Mais, ce ne sera surement pas le cas et c'est l'image d'android qui risque d'en pâtir: ça c'est pas bon pour google...
Bien sûr que Safari est touché aussi. Steve Jobs n'a vraiment aucune raison de rire.
Et bien qu'il utilise un peu ses nouveaux MacBook qui ont un écran qui marche pas, ça va le calmer.. et qu'il aille essayer d'avoir du réseau avec son iPhone 4 et on en reparle.
Merci pour la petite précision g123k :)
Comme Safari tourne aussi avec WebKit, il ne risque pas d'être touché aussi ?
Ben c'est un internaute sur mobile.
steeve job doit pissé de rire...
J'ai pas envie d'être un "mobinaute"...c'est quoi ce nom débile?
J'espère en tout cas qu'il faudra pas attendre 2.2 pour la correction de ce bug. Avec mon Xperia X8 qui n'est même pas encore sous 2.1, je risque d'attendre longtemps :(
Si y a moins d'acheteur, les constructeurs feront les MàJ pour avoir plus de clients :)
Ah de même, pas la peine de m'en faire alors. J'y avais pas pensé ^^
Un utilisateur du Xperia X8 ? :P En attendant la correction du bug, faut passer sous un autre navigateur. Ou simplement accepter que quelqu'un puisse voir le contenu de la Micro SD :/
La question que je me pose c'est : est-ce que les opérateurs (Orange, etc) ont aussi leur rôle à jouer dans la distribution des mises à jour "over the air" ?
En même temps, il faut que le site qu'on visite héberge un script qui exploite cette vulnérabilité. C'est pas comme si ça pouvait se faire par hasard, et il est assez évident que les site connus ne vont pas s'amuser à ça. Donc il faut être prudent, se tenir au courant, mais c'est pas vraiment la peine de paniquer tout de suite. Si vous avez l'habitude de cliquer sur n'importe quel lien sur votre smartphone, il vaut peut-être la peine de changer de navigateur, mais si vous visitez toujours les mêmes sites (de confiance), le risque est pour ainsi dire nul. Cela dit, je suis d'accord avec nodens : une petite mise à jour ciblée devrait être assez facile à mettre en place, a priori, et vu l'importance de la faille, elle devrait être prioritaire... Il sera intéressant de voir comment réagissent les différents constructeurs. C'est un peu un test de confiance qu'ils vont passer là.
Ça peut aussi être la faute des opérateurs qui ne mettent pas à jour leurs surcouches.
C'est Trident le moteur d'Internet Explorer.
Passé à la 2.2 est faisable pour tous les terminaux Android, c'est effectivement aux constructeurs de mettre à jour.
En même temps, quand tu as acheté ton téléphone, tu n’étais pas au courant du problème. Pourtant il était bien la, mais juste pas connu. De plus, tout dépend de ce que vous faites sur internet avec vos téléphones. Et ceci est aussi vrai pour vos PC. Ce qu'il faut retenir de ca? Que ça peut pousser google à faire pression sur les constructeurs pour qu'ils sortent leurs MAJ en temps et en heure. Si ton Samsung galaxy n'est pas en 2.2? C'est la faute à qui? Google ou Samsung... posez vous les bonnes questions...
tiens, voilà une limite de l'absence de root... Il est impossible de mettre à jour le navigateur via le market. Comme quoi pour la sécurité ça n'a pas que des avantages... Cela dit, un correctif signé qui se fait over the air avec un simple reboot (il n'y a que le composant navigateur à mettre à jour, pas besoin de mettre à jour le kernel donc les drivers etc) ça doit être faisable, non ? Je ne suis pas familier avec le packaging des updates android, mais il me semble qu'on peut faire des mises à jour partielles sans flasher entièrement l'appareil...
On devrait rajouter dans l'article que l'une des solutions est de passer à une 2.2 Custom (comme la cyanogen)
Tout ce qui est créé par l'Homme est modifiable par l'Homme ;)
Je crois qu'il y a plus de chances que ça pousse les acheteurs à n'acheter que chez des constructeurs qui mettent à jour sans traîner.
Aaargh, merci les nuls qui ont créé WebKit! J'ai lu quelque part sur le web que Dolphin HD est aussi basé sur WebKit et Opera je veux pas l'utiliser parce qu'il demande la permission de passer des appels!! Donc il ne reste plus que SkyFire.
je me sert de mon spica a 100pc pour allez sur internet et mon idaube 3G quand la batterie de celui la est hs bref donc je peut aller sur internet uniquement avec skyfire et opera si je comprend bien ?
Si ça pouvait pousser les constructeurs à proposer des mises à jour de leurs appareils (quoi, on peut rêver !)
Hs mais dis moi flashover tu comptes utiliser quelle maj parce que j'ai écumé le forum et il y a une multitude de manières possibles! Ce serait cool un petit conseil. Je n'en peux plus de touchwiz.
Il y a des vulnérabilités partout... c'est surtout pour ça qu'il y a plein de mises à jour en informatique...
+10000 Il faut qu'ils règlent ce problème si ils veulent avoir un produit vraiment solide?
Je suis tout à fait d'accord la gestion chaotique des maj devait, un jour ou l'autre, amener à ce genre de problèmes... Franchement j'aime beaucoup google mais il faut qu'ils trouvent une solution... et vite... Sinon android finira par être un nid à virus et autres malware... Personnellement je suis en 2.2( HTC desire ) donc je risque rien... Mais pour combien de temps? Mon téléphone aura surement le 2.3... mais après? Si une nouvelle faille et découverte je fais comment? Ca ne tient pas la route...
Ca va peut-être leur faire comprendre qu'il faut trouver un moyen de régler le problème des maj...
Pas le problème de Google ?! Haha, faut le lire pour le croire. Un simple correctif pour TOUTES les versions serait la bienvenue nan ? Et ce serait un minimum...
les constructeurs pourraient s'ils le voulaient, publier un correctif eux-mêmes via leurs logiciels. Cependant, une faille et qui plus est ne donne accès qu'aux photos, c'est pas risqué, je connais des gens qui utilisent MacOS sans antivirus et il y a plus de cent virus...
Non, Google connaissait le problème, et l'a corrigé pour FroYo. Que les fournisseur du hardware n'ont pas encore effectués mis à jour pour 2.2 n'est pas le problème de Google.
Et toi tu as l'air très aimable dis donc ... Je demandais juste ça vu qu'Android 2.2 n'est pas officiellement sorti le Hero, donc je ne savais pas si le navigateur était basé sur celui du 2.2 ou du 2.1 ! Et si c'est pour donner des réponses comme ça (si peu constructives !) tu peux te les garder (pour ne pas être vulgaire)
rien n'est parfait.... à part moi bien sûr ! ( je connait la sortie vous en faites pas )
Rien n'échappe à Google, c'est fou :)
"lorsque le mobinaute se rend sur un site avec ce code." Donc pas de risques je vais toujours sur les memes sites ;)
C'est fou, tu sais lire...
Oui mais il est important de le signaler, pour que les gens fassent attention. Bien évidemment que rien n'est parfait, on le sait bien :p
Faut se tourné vers les constructeurs Google n'y est pour rien. Et d'ailleurs Google préfèrerait que tout les mobile passe sous Froyo, et soit mis à jour au lieu de resté sous 1.6.
faut arréter avec ce délire de vulnérabilité ! tout est vulnérable 100% des appareils informatique sont vulnérables .....
Alors là on voit la limite d'Android, on fait comment quand on a une version 1.6 et qu'il n'existe pas de version plus récente pour son tel ? Je commence à être déçu, on est vraiment pris pour des pigeons
Et un pti coup d'pub pour Opera, un! xD
+1
Oui probleme avec le forum car je pense que le serveur est surchargé faudra investir dans du plus lourd, et oui c'est sa aussi d'avoir des milliers de forumeurs amoureux de ce forum :P
Problème avec le forum ?
Bon bah je vais faire la maj 2.2 de mon galaxy s demain. ^^
Pour faire simple, tu as : - Internet Explorer - Opera - Moteur gecko : Firefox, Skyfire... - Webkit : Chrome, Safari, Konqueror...
Donc avec un HTC hero avec une custom ROM basée sur Android 2.2.1, je ne risque rien ?
Metci Azahot Envoyé avec <a href="https://www.frandroid.com/applications-frandroid-android/">l'application FrAndroid</a>
Cool je suis en 2.2 :p
Je veu dire enfin jr voudrais savoir skyfire utiliserait il le mm moteur de rendu ? dsl pour le re-post mais lotre n'etait pas claire et puis je ne sais pas comment supp un post de pui lapp Envoyé avec <a href="https://www.frandroid.com/applications-frandroid-android/">l'application FrAndroid</a>
Skyfire est basé sur gecko et n'est donc pas vulnérable à la faille.
oui mais skyfire est il affecter parce que opera mini est extrêmement lent mm en wifi ? Envoyé avec <a href="https://www.frandroid.com/applications-frandroid-android/">l'application FrAndroid</a>
Non c'est un chercheur qui l'a trouvé. Google a simplement indiqué qu'ils avaient pris connaissance de la faille.
Je ne comprends pas... Ce code est connu ou Google vient de le trouver ? Car si c'est le cas, pourquoi ne pas le corriger discrètement ?
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix