Ce qu’il s’est passé chez AirDroid est grave. Grave, car l’éditeur derrière la solution était au courant de ces failles de sécurité pendant le développement de la nouvelle version, récemment déployée. L’éditeur était au courant depuis le 24 mai, pendant les phases de bêta-test, mais n’a pas corrigé ce problème identifié.
Qu’est-ce qu’il se passe ?
En gros, il est possible d’exécuter à distance une installation d’app Android (et potentiellement d’un malware ou autres). N’importe qui — de mal attentionné — peut exécuter la même requête HTTP que celle utilisée pour autoriser l’appareil à envoyer des statistiques d’utilisation. La requête est chiffrée, mais elle utilise une clé hardcodée dans l’application AirDroid. Ce qui signifie que tout le monde possède la même clé.
En extrayant l’APK et en le décompilant, n’importe qui avec un peu de connaissances peut donc extraire cette clé et lancer des requêtes sur l’appareil ciblé.
Les attaquants en utilisant un proxy peuvent intercepter une requête réseau AirDroid, celle qui permet de vérifier les mises à jour des add-on, par exemple, et injecter n’importe quelle app (sous forme d’APK). AirDroid avertira, dans ce cas, l’utilisateur qu’une simple mise à jour d’add-on a lieu, puis il téléchargera le fichier APK malveillant et demandera tout simplement à l’utilisateur d’accepter son installation. Ce que fera la plupart des utilisateurs, en pensant qu’il s’agit d’un add-on.
Que doit-on faire ?
Tout simplement, désinstaller tout de suite l’application de votre appareil.
Pourquoi ? L’éditeur n’a pas encore déployé de correctif, ce qui rend votre appareil vulnérable. L’exemple de l’application installée à travers le système d’add-on n’est qu’un exemple des problèmes que vous pouvez rencontrer. Garder AirDroid sur votre appareil, c’est prendre un risque, même si vous désactivez l’installation d’add-on depuis l’app. L’application possède de nombreuses autorisations Android, ce qui donne accès à vos données, votre géolocalisation et ainsi de suite.
Les alternatives à AirDroid
Nous avons listé 5 alternatives à AirDroid, en attendant d’avoir des nouvelles rassurantes sur cette faille de sécurité.
Pour aller plus loin
5 alternatives à AirDroid, pour faciliter les échanges entre votre Android et votre PC
Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.
Euh non, iOS n'a pas 40% des malware. iOS en a genre 2 par an contre des milliers à tout moment sur Android.
Ah tu veux parler d'addons d'applications tierces? Oui en effet. Mais si le constructeur veut autoriser des extensions au sein de son appli rien ne l'en empêche.
Tu te rend compte que tu ne me sors que des exemples d'applications Apple qui s'est donc probablement réservé cette possibilité ? ;)
Effectivement je passe par un navigateur dès que je peux plutôt que des apllications qui prennent de la place et peuvent tourner en fond (coucou l'appli facebook), grévant en plus l'autonomie. En plus il y a parfois moins de fonctionnalités et d'ergonomie sur les applis que le site web.
Suffit de ne pas accorder de permissions au navigateur, Chrome n'a pas besoin d'avoir accès à ta localisation, à tes contacts ou à ton APN ! Faut tout désactuver, et accorder uniquement temporairement si besoin est.
C'est ce que je fais, je n'utilise aucune appli de site web (cc Frandroid) et je vais sur leur version web, hormi Twitter question d'ergonomie, en ayant bien fait gaffe de n'accorder quasi aucune autorisation ; ceci dit toutes les applis ne sont pas basées sur des sites web, et encore moins sur du contenu HTML/JS/PHP... Perso j'utilise Pushbullet, qui remplit bien son office, et en plus propose l'end to end encryption pout tout transfert de données entre appareils, ce qui limite la casse en cas de faille.
Dans l'article : "60% des malwares sur mobiles ciblent les téléphones Android" Un OS avec 90% du marché et très peu de terminaux à jour est susceptible de se prendre 60% des malwares. L'OS avec 10% de part de marché est donc ciblé par les 40% restants. Statistiquement il vaut mieux être chez Android avec la dernière version de l'OS.
Et, en quoi ça prouve que c'edt plus simple de programmer un application pour Android que pour IOS ? Le 2 déc. 2016 3:22 PM, "Disqus" a écrit :
Tellement belle cette phrase
Je peux me contenter de la freezer avec Titanium ?
Airdroid n'est pas android lol Faut suivre un peu. Et j'ai jamais dit qu'on ne pouvait pas utiliser android sur un réseau wifi d'entreprise. Ca marche tres bien jsuis dessus tous les jours de la semaine. C'est vendredi, repose toi c'est le week end ^^
Une raison de plus pour laquelle Android n'est pas assez sûr pour l'entreprise. Selon tes propres dires on ne peut l'utiliser sur un réseau wifi d'entreprise.
Si, mais pourrais-tu me dire combien de fois c'est arrivé?
Quand je pense que c'est L'APPLICATION qu'on m'a vendu des tonnes de fois qui permet de faire en moins bien certaines fonctions dont iOS et Mac disposent nativement. Et bien non-seulement elle ne faisait pas aussi bien son taf, mais en plus elle est mal sécurisée. J'attend le prochain comm dans 3 jours qui me dire que les applis sous Android sont toutes sûres quand on les télécharge sur le store.
Gros +1, puis tant qu'à être sur le même réseau wifi qu'une personne, il y a des tonnes de trucs plus "funs" à faire avec ses appareils via ce réseau que d'espérer qu'elle possède CETTE version de CETTE appli, et que machin machin. Une attaque MITM sur un wifi public c'est tellement simple à mettre en place, pourtant on ne nous dit pas "olala grosse faille de sécurité désactivez vos wifi bluetooth et gps et ne les allumez que dans un bunker sécurisé à l'abri des ondes életromagnétiques".
Non car la faille ne peut se propager à l'OS.
Il n'y a pas besoin d'identifiant pour activer un iPhone...
"ne propose aucune fonction aux applis pour installer des modules ou addons contrairement à Android" hein??? iOS propose des extensions pour : Photos Clavier iCloud Messages Partage Téléphone Safari Justement Apple a bien fait les choses et il est possible d'installer plein d'addon de façon sécurisée.
Justement, un navigateur dispose d'un minimum de suivi et de mises à jour régulières. Tu as des applis avec des trous béants qui ne sont plus mises à jour depuis des lustres, et qui sont malgré tout présentes sur le Play Store.
C'est certain, mais disons que ça ouvre le champ des possibilités. Sans parler des wifi de gares/aéroports, etc. Vu que AirDroid est une application assez populaire, tu as tout de même pas mal de chance de tomber sur une victime dans ce genre d'endroits ouverts. Installer un malware est tout de même autrement plus puissant que de profiter d'un trafic en clair pour, par exemple, voler un mot de passe d'un site à la con.
bof une faille dans le navigateur et t'es cuit :P surtout qu'ils en fixent à tour de bras sur les navigateurs.
Si des attaquants sont connectés au wifi d'une université ou d'une entreprise il y as toutes sortes d'attaques déjà dispos plus simple qu'ils peuvent faire qu'un truc que personne n'a jamais exploité.. Ils ne vont pas cibler une application que peut être un tel sur cent mille utilise
Et les universités ? Les entreprises ?
http://blog.zanorg.com/?perm=489
Ulrich, sérieusement... on parle de ne pas donner tout et n'importe quoi à une application. On sait qu'à la rédaction pour vous c'est pas facile. Beaucoup d'actus à suivre sur des tas de sujets, des centaines d'appareils qui sortent, des versions de chaque pignolade d'éditeur qui trouve qu'une icone ronde c'est mieux que carré... Il a donc du vous échapper cette actualité: depuis plus d'un an, sous Android, le système de gestion des autorisations sous Android a fait un bond en avant. D'autres journaux (je peux te donner des liens si tu veux) en ont parlé comme l'une des avancées majeures de la version 6.0 d'Android. De fait, dans le menu des paramètres de mon téléphone, si je regarde les autorisations que j'ai données à Airdroid, je lis 18 fois "always ask".
Complètement. Et c'est une hérésie. Par contre il y a un truc formidable qui a été inventé, ça s'appelle un navigateur. Plutôt que d'utiliser des apps aux autorisations trop invasives je préfère utiliser ça. Et encore plus incroyable, de plus en plus de sites sont en responsive design. Et encore plus fort, on peut faire du mode hors ligne en HTML5. Dingue ça. Alors certes, on ne peut pas se passer complètement de certaines applis. Mais pour se Facebooker ou se twitteriser à longueur de journée le navigateur c'est largement suffisant, et beaucoup plus respectueux de la vie privée.
Plutôt que reposter un de mes commentaires qui a été supprimé, je reformule. Hier, pour vous "protéger" d'un malware, FrAndroid vous a conseillé de renseigner la base de données d'un éditeur avec l'adresse mail qui sert de base à vos autorisations Google. Cet éditeur est connu pour ses activités commerciales douteuses. Ca ne gène pas FrAndroid. Aujourd'hui, plutôt que vous conseiller de ne pas filer votre WPA à n'importe qui, et de préciser le mode de fonctionnement d'Airdroid, il préfèrent vous dire de supprimer Airdroid. A ce niveau de pertinence de conseil, je vous suggère très fortement https://www.youtube.com/watch?v=gus0b8Z-Ez8 à 4:00, il y a la pensée de la rédaction. Il faut trouver du contenu pour bouffer. à 5:20, ce qu'il y a a dire des conseils de sécurité de FrAndroid.
???
Pas facile de vivre sans iPhone? Ahahahaha vous êtes vraiment des comiques chez Frandroid ^^
1) Vous êtes sérieux avec votre titre de fin du monde? ^^ 2) "pour n’importe qui", non non faut quand même un minimum de connaissance. Jvous assure que Madame Michu ne saura rien en faire. 3) Et en plus faut être sur le même réseau, donc a moins d'aller sur des hotspots en libre accès, Y'a aucun risque depuis chez toi. (attaque de type Man In The Middle). 4) Et pour ceux qui veulent la source car les blogueurs en mousse de Frandroid ne sont pas foutu de l'indiquer => https://blog.zimperium.com/analysis-of-multiple-vulnerabilities-in-airdroid/
Lol
Oui mais comme c'est plus simple de créé une application pour ios que Android , ça doit auss être plus simple de la corriger.
Bah non c'est juste que chez frandroid ils ne sont pas trop adepte de la précision.
A parceque sur Android c'est pas possible peut-être . Et pour mettre un mouchard comm e tu dis sur ios il faut que le device soit jailbreaké .
Ulrich, on t'aime bien mais commencer un paragraphe par "En gros", ça fait un peu "chui ton pote du ghetto"
Je connais des gens qui mettent des mouchards sur IOS... elles peuvent surveiller les sms des personnes et le journal d'appel... Donc la sécurité IOS... ToZ
Sources?
c'est ce que je dis mais on me dit que je raconte nawak à chaque fois ziva !
Ecoute, continue à te mettre la tête dans le sable si ça te chante... Perso, je garde l'app, et je ne me connecte qu'à des réseaux qui ont une clé.
Sauf que non, l'exemple des add-on n'est qu'un exemple des soucis rencontrés, aujourd'hui, il est évident qu'il faut désinstaller l'app en attendant un correctif.
Ben tu réponds qu' écouter la propagande marketing et accorder une confiance aveugle n'est pas le meilleur moyen de se trouver à l'abri.
On parle d'une app, pas d'un appareil. Les gens peuvent-ils vivre sans Airdroid ? Oui. Sans iPhone ? Pas facile.
Donc, prochaine faille iOS permettant de déverrouiller un iPhone via Siri, tu mettras dans le titre "enterrez tout de suite votre iPhone" ? Franchement, c'était déjà pas brillant, mais là ça devient vraiment n'importe quoi.
C'est pas android le problème, mais les devs
hein ?
merci vu !
merci très intéressant je ne savais pas que c'était possible. Du coup je réponds à quoi à ceux de mon entourage qui me disent qu'il n'y ni faille ni bug sur iOs ?
En gros, AirDroid a potentiellement pu permettre d'installer des apps tierces. Première chose à faire : Soit bloquer l'installation d'add-on (et encore ce n'est pas le seul problème) soit désinstaller AirDroid et attendre que ça soit corrigé. Heureusement que l'on conseille la désinstallation. Potentiellement, n'importe qui à accès une app qui possède quasiment TOUTES les autorisations possibles sur Android.
Et le système ne se laisse pas faire puisque c'est l'utilisateur qui a accordé l'autorisation
Je t'invite à lire ces conseils : https://www.frandroid.com/android/applications/securite-applications/390659_9-regles-a-suivre-pour-securiser-son-smartphone-android-et-son-iphone
Hier j'ai pu activé un IPhone 6S sous ios 10 sans identifiant.
Mais comment peux tu sortir une telle absurdité ? Sérieux t'es le meme Ulrich qui participle au site depuis des années ou tu viens de débarquer ? L'application ne fai tque ce que l'utilisateur lui permet de faire. On refuse les installation d'add on depuis un reseau non securisé et ce risqué est mitigé. Maintenant evidemment si on donne toutes les autorisations sans lire le decriptif, la solution la plus sur c'est de jeter son smartphone...
La solution la plus sûre est de ne pas se connecter à un réseau non sécurisé. Non, mais sérieusement, Ulrich...
Car le système IOS ne propose aucune fonction aux applis pour installer des modules ou addons contrairement à Android. Et Android a le bon gout de demander l'accord de l’utilisateur avant de le faire. A nous donc de ne pas autoriser n'importe quoi. C'est un choix qu'a fait Apple de verrouiller les possibilités de son système pour éviter que l'utilisateur lambda fasse n'importe quoi. A chacun de voir midi à sa porte mais ce n'est pas une faille de sécurité.
mdr :P
Vous pouvez très bien bloquer l'installation d'add-on, mais la solution la plus sûre est de désinstaller l'app et de faire attention aux apps récemment installées sur votre appareil.
Et bien la version de l'OS n'a rien à voir là-dedans.
"Pourquoi vous installez une appli tierce qui a accès à *quasi* l'intégralité de votre téléphone et qui le rend accessible depuis le réseau local ET depuis l'extérieur ?" Tu réalises que c'est la description de quasiment toutes les applis les plus populaires, tous OS confondus?
Et?
Hier, ils proposaient comme solution à un possible malware d'aller sur un des pires éditeurs de scarewares pour y renseigner notre adresse mail. Aujourd'hui, Huawey utilise du graphène dans ses batteries. Le News of the World de la presse "technophile" francophone.
Non mais sans déconner. Au lieu de critiquer le site, vous ne vous posez pas la question de base ? Pourquoi vous installez une appli tierce qui a accès à *quasi* l'intégralité de votre téléphone et qui le rend accessible depuis le réseau local ET depuis l'extérieur ? C'est fondamental, c'est une question de confiance. Et en informatique la sécurité absolue ça n'existe pas, point barre. Remettez vous en cause, parce que crier au scandale parce que "gnagna mes données vont se retrouver à poil sur Internet" alors qu'on a justement autorisé l'appli à le faire ça s'appelle du foutage de gueule.
incinère ton pc dans le doute :P
Ben non. C'est une màj d'appli dont on parle ici.
Il est bien plus facile de corriger un problème qui concerne 2 versions d'un OS que 5.
Ah bon? Parce que tu as trouvé quelque chose de plus facile qu'une màaj sur le Play Store?
D'accord merci pour les clarifications !
Ca arrive sur iOS aussi. Mais ça se corrige bien plus facilement, et donc bien plus efficacement, sur iOS.
Il te suffit de ne pas donner ta clé WPA à n'importe qui.
La solution n'est pas de desinstaller l'appli mais seulement de ne pas accorder l'installation d'addon. Frandroid abuse sur la psychose... Et comme le dit @Lequidam:disqus : Pour qu'il y ait un risque potentiel, il faut : 1. être sur le même réseau 2. que le réseau soit non-sécurisé (sans clé réseau)
Et de plus autoriser l'installation d'un addon.. Donc en gros il ne fat pas desitnaller l'appli mais ne pas installer les addon pour le moment... Bref de plus en plus leger Frandroid...
Bonjour, doit-on aussi désinstaller le logiciel PC si on l'a installé aussi ?
http://www.numerama.com/tech/191403-comment-une-faille-de-securite-sur-ios-permettait-despionner-des-dissidents.html
Ben si, ça arrive sur iOS... http://www.numerama.com/tech/191403-comment-une-faille-de-securite-sur-ios-permettait-despionner-des-dissidents.html
sûrement mais pas dans les proportions que l'on retrouve chez le Droid !
ok mais du coup expliquez moi comment ce genre de pb n'arrive pas sur iOs (je ne suis pas dev) ???
ok mais du coup expliquez moi comment ce genre de pb n'arrive pas sur iOs (je ne suis pas dev)
FrAndroid dans toute sa splendeur... On affirme, on met des points d'exclamation en rouge, on attire le clic, on rédige vite fait avec le niveau d'un gosse d'école primaire ( <i>"N’importe qui — de mal attentionné"</i> --> lol), mais on ne se renseigne pas.
Ouais mais ça permettra à d'autres personnes peut-être moins au courant et qui l'auraient pris au pied de la lettre de mieux comprendre :)
Que fait tu des maison mitoyennes ? Voir même jusqu’à 20 mètre de chez toi ...
mais que raconte-tu ? raisonne-tu avant d'écrire ?
Tu réponds à l'un des plus grands trolls de l'histoire de FrAndroid ;)
Firefox sur ios avait une faille corrigée hier. Cela veut donc dire que ios et la sécurité, ça ne fait pas bon ménage
franchement encore un article débile une fois de plus, c'est une faille qui ne peut etre exploité que si la personne est sur le meme réseaux wifi que vous........donc bon ca craind rien au final pfff
Non le système ne se laisse pas faire car il demande à l'utilisateur d'autoriser ou non cette installation. Le malware n'est installé que si l'utilisateur valide le popup d'installation. Sur un système non sécurisé, l'installation du malware serait complètement transparente et invisible à l'utilisateur.
Parce que la faille est dans l'application et ce n'est pas un APK qu'on a modifié pour ajouter un virus mais un problème interne. Ce n'est pas la seule application a avoir des failles
Ne pas nourrir le troll, allons. En plus, c'est vendredi.
Y a jamais eu d'app Vérolés sur l'Apple Store ?
pour le moins étonnant car cette app est sur le play store...
oui mais non ! car le système se laisse faire via cette faille ! Ce genre de chose n'arrive pas sur iOs !
Ne serait-ce pas plutôt l'application qui est codée avec les pieds ?
Encore une fois, Android et la sécurité ça ne fait pas bon ménage. C'est bientôt Noël, rassurez vos proches et offrez leur un iDevice !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix