C’est une faille qui a été corrigée sur la dernière mise à jour d’Android, la version 9.0 Pie, mais qui concerne l’ensemble des versions précédentes du système d’exploitation de Google. Mercredi dernier, Nightwatch Cybersecurity, cabinet de recherche en sécurité informatique, a annoncé avoir découvert une faille qui permet aux applications de ne pas avoir à demander la permission afin d’accéder à la géolocalisation d’un appareil Android.
Connue sous le petit nom de CVE-2018-9489, cette faille permet en fait aux applications de connaître l’adresse MAC, le nom du réseau, le BSSID ainsi que l’adresse IP locale ou l’adresse du DNS utilisés par le smartphone. Concrètement, une application malicieuse installée sur le smartphone pourrait ainsi avoir accès à toutes ces informations de réseau et ainsi à la localisation de l’appareil. La faille de sécurité concerne en fait l’accès à des flux de données transitant entre le système Android et les applications installées, sans avoir nécessairement besoin des permissions requises pour accéder à la géolocalisation du smartphone ou à d’autres données : « Une application qui lit les données émises n’a pas besoin des permissions, autorisant ainsi ces informations à être capturées même sans que l’utilisateur ne le sache ».
Pas de patch de sécurité pour les versions d’Android antérieures à Pie
Nightwatch Cybersecurity précise que Google a corrigé cette faille d’Android depuis la version 9.0 Pie du système d’exploitation. Cependant, le cabinet précise que « l’éditeur ne prévoit pas de patcher les versions précédentes d’Android ».
Les utilisateurs sont ainsi « encouragés à mettre à jour leur appareil vers Android P/9 », si tant est que leur smartphone soit compatible. Pour l’heure, seuls les appareils de Pixel et Pixel 2 de Google et l’Essential Phone ont été mis à jour vers Android Pie.
Pour aller plus loin
Mise à jour Android 9.0 Pie : la liste des smartphones compatibles et leur date de déploiement
Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !
fais un nœud dedans pour plus l oublier chez toi
oh nn
Pour moi pas de soucis, j’oublie régulièrement mon téléphone à la maison, lol!
J'adore les exemples de soit disant localisations données par frandroid. Je vois pas trop comment une app peut connaître la position avec ces éléments là car soit ce sont des infos de série matériel soit identification d'antenne que seul le fai mobile connaît et ne donne que si demande d'un parquet ... Ensuite j'adore. Il faut mettre à jour si compatible .. Mais j'ai déjà jamais pu passer à Android 8 avec mon LG g5... Je vois pas comment passer à 9 !
Suffit de bloquer tout ça avec XPrivacyLua
Longue vie au Roi Samsung !
Entre le nombre d'appareils sortie nativement avec 8.0 et veux mise a jour je doute que le côté nativement il y en ai énormément surtout que Oreo ne représente que 15% du parc Android....
"cette faille permet en fait aux applications de connaître l’adresse MAC, le nom du réseau, le BSSID ainsi que l’adresse IP locale ou l’adresse du DNS utilisés par le smartphone." Désolé les amis, mais ces infos ne permettent pas de géolocaliser l'appareil. - L'adresse MAC : c'est une sorte de numéro de série de la carte réseau, défini par le fabricant, qui sert aux connexions dans un même réseau mais pas sur internet. L'adresse est transmise sur internet mais il est impossible de communiquer avec un appareil en ayant cette seule adresse, car il peut y en avoir plusieurs équivalentes dans le monde et internet n'est de toute façon pas conçu pour les trouver. - Le nom du réseau : Le nom de la box ou de l'antenne ? C'est pas clair. Si c'est de l'antenne là d'accord il y aurait débat, mais ces noms ne sont pas publics, connus que par les FAI j'imagine. Si c'est le nom du réseau Wifi, seul Google peut savoir où vous êtes grâce à leur cartographie réalisée en parallèle avec street view, mais de toute façon les données peuvent être obsolètes donc ça vaut pas grand chose. - Le BSSID : c'est l'adresse MAC de la borne WIFI, voir le point précédent sur l'adresse MAC. - L'adresse IP locale : encore mieux, vu que c'est justement >local<, ce n'est pas l'ip publique. Elle n'est connue que du routeur et ça s'arrête là, elle est (elle aussi encore une fois) inutilisée sur internet (d'ailleurs contrairement à la MAC, elle ne s'y retrouve même pas). - Le DNS utilisé par le smartphone : En gros quels sites le smartphone consulte, la seule réelle info qui peut être utile ici dans ces exemples (mais rien à voir avec la géolocalisation). Mauvais exemples de frandroid ? Ou comment sortir des termes techniques pour faire genre on s'y connait...
Donc depuis plus de 10 ans, on est géolocalisable même si on ne le souhaite pas. Super Google. Et en plus pour eux c'est mineur, pas besoin de corriger sur Android < P ! En fait c'est un véritable scandale non ?
Pas faux.
Les constructeurs ont obligation d'implémenter treble pour les smartphones sortis directement sous Oreo.
Treble a été implémenté mais sûrement pas sur tous les appareils ayant Oreo Google n'oblige personne a mettre en place cette option do c très dur a suivre ce que tu annoncé 😦
Google pas trop pressé de corriger la faille, tu m'étonnes :-)
Si la faille est très médiatisée, les constructeurs seront obligés de proposer leur propre patch de sécurité ou de passer directement sur Pie, chose pas trop compliqué en plus de Treble.
OK mais le parc actuel de smartphone capable de passer sous Pie doit être juste insignifiant je pense, pour TOUS les autres débrouillez vous... ^^ Plutôt moyen comme procédé.
Bonne nouvelle, ça va faire pression sur les constructeurs pour faire passer les anciens smartphones sous Pie.
Ah Oui n'aller jamais en dessous des pubs Samsung, que des fanboys , je suis tomber dessus par hasard , pour eux il n'y a rien d'autre que Samsung, le genre qui me soule 😡
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix