Des failles, il en existe, quel que soit le système d’exploitation. Sur Android, l’actualité est régulièrement ponctuée par la découverte de l’une d’elles, à l’instar de Stagefright, qui a défrayé la chronique cet été. À l’occasion de la PacSec, qui s’est déroulée à Tokyo la semaine dernière, et plus particulièrement lors de l’évènement MobilePwn2Own, une nouvelle faille critique a été dévoilée sur le système. Ou plus particulièrement sur Google Chrome, le navigateur Internet du système.
Une faille de JavaScript
Durant l’évènement, Guang Gong, chercheur en sécurité au sein de la société Quihoo 360, a réussi à prendre le contrôle d’un Nexus 6 afin d’y installer une application tierce à distance – choisie ici arbitrairement pour l’occasion. L’exploit, qui a été préparé durant trois mois, a été permis par une faille du moteur JavaScript (v8) de Chrome, et uniquement cette faille, rendant l’exploit particulièrement impressionnant.
L’exploitation de la faille est peu complexe, puisque n’importe quel téléphone sous Android se rendant sur un site affichant le code malicieux se retrouverait alors infecté. N’importe quel lien peut donc se révéler un danger potentiel pour tous les smartphones disponibles sur le marché à partir du moment où l’utilisateur utilise la dernière version de Chrome.
Google déjà mis au courant
Naturellement, les détails exacts de cette faille n’ont pas été publiés afin d’éviter qu’elle ne tombe en de mauvaises mains. Google en revanche a déjà été mis au courant, et doit certainement déjà travailler à un patch de sécurité afin de corriger le problème. En guise de récompense, Guang Gong s’est vu offrir un billet pour la CanSecWest, un autre congrès axé sur la sécurité qui se déroulera à Vancouver en mars 2016. Il n’est pas impossible non plus selon Dragos Ruiu, organisateur de l’évènement, que Google lui offre une prime.
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
Le faille concerne le moteur JS de Chrome qui est le même sur toutes les versions d'Android. Et effectivement, bien plus dangereuse en dessous de 6.0 alors.
La demo a été faite sur du 6.0. on n'a pas de précisions sur le comportement sur les versions < 6.0 (notamment au niveau autorisations) on en saura plus quand/si les détails seront connus. en 6.0 une autorisation est demandée a sa première utilisation, ce qui n'est pas forcement le premier lancement de l'app.
Ca ne concerne pas que 6.0. Je n'ai pas encore essayé 6.0, il demande systématiquement les autorisations au premier lancement?
Il reste des failles sur le moto g et oui Motorola est parmi les meilleurs élèves. Ce qui me fait plus rire (ou pas) c'est le galaxy alpha encore avec ses failles stagefright , c'est ballot pour un HDG ...
c'est dans le contexte Android 6.0 ou il n'y a plus de demande d'autorisations a l’installation des apps. Les demandes se font a l’exécution.
c'est dans le contexte Android 6.0 il n'y a plus de demande d'autorisations a l’installation des apps. Les demandes se font a l’exécution.
Au moins pour cette faille, il faudra pas attendre le bon vouloir des fabricants pour installer le patch.
Si tu te retrouves avec une application sans icône de launcher (que tu ne remarqueras pas facilement, donc), qui se lance automatiquement au démarrage de ton téléphone (et donc pas à l'installation, mais potentiellement plusieurs jours plus tard, rendant le lien entre les deux actions difficile), qui envoie des SMS surtaxés ou appelle des numéros spéciaux à ton insu, modifie ton agenda et envoie des invitations à tous tes contacts, expose tous tes SMS/mails/contacts/photos sur internet puis les supprime de ton téléphone… Certes, ce n'est pas de la prise de contrôle, mais limite je préfèrerais plutôt que ce genre de traitement tout à fait réalisable de manière entièrement automatisée.
Même le Moto G 1st gen a été màj, donc bon...
Avec le nombre d'applis qui ont des autorisations très larges sur le store officiel, il y a déjà de quoi faire je pense.
Le titre est certes très racoleur, mais l'exploit est loin d'être anodin. Pouvoir installer une application en contournant les sécurités et en acceptant toutes les autorisations c'est pouvoir accéder à toutes les données et fonctions du téléphone. L'application peut parfaitement être dangereuse et être sur le playstore. Une appli qui a l'autorisation d'initier un appel sortant peut générer des factures ahurissantes par exemple. Je doute que des gars qui voudraient se servir de code javascript malintentionné le fasse comme M. Gong pour simplement installer un jeu de BMX.
Au fait ça serait bien que les journalistes nous fassent un état des lieux sur les failles stagefright , entre les promesses de corrections et la réalité on doit bien pouvoir rigoler ;)
Les gars vous connaissez #NoChromo ? C'est chrome mais avec un ad block intégré. Mais il m'empêche aussi de visiter les sites louches ou de pub. Vous pensez qu'il m'empêchera aussi de visiter ce genre de lien (cité dans l'article) ?
Oui et non, cliquer sur un lien inconnu peut arriver à tout le monde, d'autant plus avec les liens réduits disponibles aujourd'hui qui ne permettent pas de savoir où l'on va se retrouver en passant sa souris dessus.
Oula, vous n'êtes pas du tout dans le chemin de pensée du moment de la rédaction de l'article, même si je comprends qu'on puisse y voir cela. Installer une application à distance sans en demander l'autorisation à son propriétaire est déjà une prise de contrôle partielle. D'autant que l'utilisateur n'aura pas à vérifier les autorisations, ce qui veut dire possiblement l'installation d'une application capable de récupérer des informations personnelles sur le téléphone et les renvoyer à quelqu'un d'autre. C'est ce type de contrôle qui est pensé là. Après c'est vrai que si on veut être tout à fait correct et exhaustif, il faudrait évoquer les appareils rootés, sur lesquels cette faille ne peut faire que davantage de dégâts en prenant un contrôle total de l'appareil, mais le premier cas est déjà bien assez dangereux pour être alarmant.
Le code concerné impacte également Opera, et potentiellement tous les téléphone utilisant ces versions de Chrome ou Opera, quelque soit l'OS.
Tout à fait, mais si le titre de l'article n'avait pas contenu l'expression <i>"prendre le contrôle d’un téléphone"</i> ça aurait de suite provoqué moins de clics Dure loi du commerce.
Et il suffit de faire gaffe où on clique. Je meilleur anti-virus reste l'utilisateur.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Oui au début j'ai cru que tu pouvais plus maîtriser ton téléphone et qu'il était contrôlé à distance genre comme team viewer Mais je me demande, si on a les sources inconnus de désactivées, ça marche quand même cette faille ?
Voilà une raison de plus de ne pas utiliser GChrome :p<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
prendre le controle et faire ce qu'on veut sur le téléphone (= etre root) n'est pas la meme chose qu'installer une app en douce. La "faille" en question permet juste d'installer une app qui doit être disponible sur le play store officiel (donc pas une app dangereuse a priori). Meme si c'est un probleme potentiel c'est loin d'être aussi grave qu'avoir le contrôle total ou d’exécuter du code arbitraire... Comme toujours dans ces histoires de failles de sécurité: "le diable est dans les détails". Les journalistes et bloggeurs ne vont pas au fond des choses et font peur aux gens souvent pour rien (avec des titres racoleurs notamment).
Comme d'habitude ça concerne que les gars qui ont des comportements hyper spécifiques, personne ne rencontrer le cas en vrai. Mais ça vous intéresse pas vraiment ça. <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix