Deux nouvelles failles dans Android permettent l’installation d’applications sur le terminal sans l’intervention de l’utilisateur.
Des chercheurs en sécurité viennent de démontrer deux nouvelles vulnérabilités qui permettent à des personnes malveillantes d’installer des applications, tout en validant le processus des permissions, sans l’approbation de l’utilisateur.
Lors de l’installation d’une application, les utilisateurs doivent accepter de lui donner certaines permissions. Le contournement de cette étape permet alors d’installer n’importe quel spyware, malware, trojan…
Les deux vulnérabilités dévoilées ne concernent pas le noyau (kernel) d’Android (basé sur GNU/Linux), mais la couche utilisateur.
Un spécialiste en sécurité, dénommé Nils, a trouvé sur plusieurs téléphones HTC que le navigateur web intégré disposait des droits pour installer d’autres applications (INSTALL_PACKAGES). Cela est utilisé afin de mettre à jour le plugin Flash Lite intégré. Cependant les personnes malveillantes peuvent exploiter « cette fonctionnalité » s’ils trouvent une autre faille en parallèle. C’est notamment le cas avec la faille qui concerne les téléphones sous Android 2.1 et inférieurs que nous vous dévoilions récemment.
La deuxième faille a été dévoilée par un spécialiste d’Android, Jon Oberheide. Elle touche l’Account Manager (Gestionnaire de compte) et génére un jeton/token d’authentification pour l’Android Market afin d’obtenir tous les droits nécessaires pour installer une application. Cependant une application spécialement conçue doit être préalablement installée.
Mais le spécialiste vient de prendre une application d’exemple qui pourrait mettre en erreur les utilisateurs. Angry Birds vient d’être mis à jour et 45 nouveaux niveaux viennent d’apparaître. Cette application consiste à faire croire qu’elle télécharge ces niveaux :
Après être installée, l’application va télécharger et installer trois autres applications Fake Toll Fraud (droit d’envoyer des SMS), Fake Contact Stealer et Fake Location Tracker, sans demander quoi que ce soit à l’utilisateur.
Depuis Google a supprimé toutes ces applications de l’Android Market, par le processus de suppression à distance.
Concernant l’Android Market, les applications malveillantes sont rares et Google agit rapidement pour les supprimer. Ce fut notamment le cas de SMS Replicator qui transmettait à un autre téléphone tous les SMS reçus. Ces informations ne sont pas encourageantes au premier abord, mais il faut noter que les plateformes populaires sont plus soumises à la découverte de failles, car plus de personnes les utilisent.
Source : Android Community
Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Faut apprendre à lire le français mon grand
[...] la carte SD. Cela concerne toutes les versions d’Android.Récemment, nous vous indiquions que deux failles avaient été découvertes sur Android permettant l’installation d’application tierces, sans que [...]
Oui, les anciens téléphones HTC Sense (pre 2.2), avaient déjà flash lite, et sont concernés potentiellement.
Ca n'est pas très clair, c'est uniquement sur les téléphones HTC ? En tout cas je suis bien content d'avoir un bon firewall.
déjà quand on voit le rythme de mise à jour de certains ...
« Le problème d’Android est surtout que les applications présentent sur le market demande souvent beaucoup plus de niveau de sécurité quelles ne devraient, mais c’est à l’utilisateur de validé ou non l’installation (mais peu de personne ont cette connaissance). » Je ne sais pas s’il y a beaucoup d’os mobiles concurrents qui indiquent explicitement les droits demandés par les application … C’est il me semble une spécificité d’Android. La difficulté, c’est de définir le bon niveau de granularité pour la sécurité : – tros gros, c’est facile pour les développeurs d’applis et les concepteurs de l’OS mais ca ne protège finalement rien puisqu’avec quelques permissions on accède à énormément de choses … - trop fin : ca devient un véritable casse tête pour les développeurs d’applis et les concepteurs de l’OS tout en ne protégeant rien au final parce que l’utilisateur ne comprend rien et est gonflé par une liste à la Prévert de droits qu’il ne lit même plus …
avec l'arrivée des markets alternatifs, je sens que ce genre de problème va augmenter et est ce que tous les acteurs gérant ces markets seront aussi réactif que Google et auront-t-ils la possibilité de supprimer à distance des applications...
je voulais contribuer sur le post de bliquid 2 niveaux plus haut ...
"Le problème d’Android est surtout que les applications présentent sur le market demande souvent beaucoup plus de niveau de sécurité quelles ne devraient, mais c’est à l’utilisateur de validé ou non l’installation (mais peu de personne ont cette connaissance)." Je ne sais pas s'il y a beaucoup d'os mobiles concurrents qui indiquent explicitement les droits demandés par les application ... C'est il me semble une spécificité d'Android. La difficulté, c'est de définir le bon niveau de granularité pour la sécurité : - tros gros, c'est facile pour les développeurs d'applis et les concepteurs de l'OS mais ca ne protège finalement rien puisqu'avec quelques permissions on accède à énormément de choses ... - trop fin : ca devient un véritable casse tête pour les développeurs d'applis et les concepteurs de l'OS tout en ne protégeant rien au final parce que l'utilisateur ne comprend rien et est gonflé par une liste à la Prévert de droits qu'il ne lit même plus ...
petite erreur : le kernel est basé sur linux, et pas gnu/linux. ce dernier correspond au système d'exploitation (gnu) couplé à un noyau (linux). c dommage, pour une fois que quelqu'un dit bien gnu/linux, c au seul. moment oú faut dire linux ^^
Ayant quelque notions dans la sécurisation des téléphones portable je me permet de donné un avis. Le fait d'avoir accès au code source d'Android permet plus "facilement" de trouvé des failles de sécurité. Mais d'un autre coté ce partage de source permet de nombreux utilisateur ou société de sécu de reporté rapidement des failles. Le problème d'Android est surtout que les applications présentent sur le market demande souvent beaucoup plus de niveau de sécurité quelles ne devraient, mais c'est à l'utilisateur de validé ou non l'installation (mais peu de personne ont cette connaissance). Ne parlons pas des ROM customs qui peuvent contenir absolument n'importe quoi. Android est aussi basé sur tous les outils google, et on ne sais pas trop ce qu'il faut avec. (Voir WiFi ouvert et google cars) Pour les autre OS, le blackberry a fait grand bruit car il utilisait des serveurs US pour transiter le contenu des emails de l'utilisateur. Donc pour résumé le plus gros souci de la sécurité est l'utilisateur. Aucun smartphone est sécur, donc évité les données sensibles sur ceux-ci. Sinon il existe des surcouches de chiffrement ou VPN pour le réseau.
Je trouve que Google a pris une sage décision en faisant ça. Pas besoin de ce mêler des affaires des autres.
C'est pas que pour ça. Il est plus facile de trouver une faille quand on a le code, ce qui est le cas d'Android.
Ils auraient due faire une meilleur arborescence aussi, car j'imagine même pas le bordel d'une carte SD datant de quelques années d'utilisation... Et pour l'utilisation de la carte SD en tant que home dir, c'est plus ou moins le cas, car le soucis c'est tout se qui est des préférences des appli' de bases ne sauvegarde pas sur la SD, donc à chaque réinstallation d'une ROM tout se qui est Wi-Fi, navigateur web, etc. sont remis à zéro. Après pour les autres appli' ils ont le choix, mais beaucoup ne le font pas, comme « Handcent SMS » par exemple, se qui est dommage car il a beaucoup d'option de personnalisations :s
Il est malveillant dans le sens où l'utilisateur du téléphone ne sait pas que les données sont envoyées. Mais le motif de Google était bien la vie privée.
Beau troll. C'est pour ça que dans la plupart des grandes entreprises travaillant sur des choses confidentielles, l'iphone est strictement interdit pour niveau de securité jugé insuffisant...
Attention amalgame, sms replicator n'était pas malveillant, et n'était pas installé a l'insu de l'utilisateur puisque c'était un logiciel sur le market comme les autres. Il a été retiré car Google n'admettait pas qu'on puisse proposer des logiciels espions.
en fait je me demande quel système un peu visible rime avec sécurité ... il me semble me souvenir qu'aux tout début de Windows NT, il y avait la possibilité de l'installer avec le niveau de sécurité requis par le DOD (département de la défense US). Le seul problème, c'est qu'on ne pouvait plus faire grand chose avec vu que très peu d'applications étaient compatibles avec ce niveau de sécurité qui impose de sévères restrictions (inutile de penser utiliser un browser par exemple) ...
peut-être parce que la carte SD n'est pas obligatoire, qu'on peut l'enlever, la formatter, ... pour le système de sécurité d'unix, il me semble qu'Android l'utilise puisqu'une appli ne peut avoir accès qu'à ses données : pour accéder aux données d'une autre appli, il faut qu'elle les publie via un service (un ContentProvider je crois) ... mais comme je ne suis pas spécialiste, je m'arrête là et laisse des personnes plus compétentes approfondir
J'ai jamais compris pourquoi Google n'a pas utilisé le système d'utilisateur/groupe de GNU/Linux pour l'utilisation des droits... Ou si ils le font, pourquoi ils l'utilisent aussi mal que cela ? Et un autre point que je trouve étrange, pourquoi ils n'ont pas mis la carte SD en tant que "home dir" avec les préférences de toutes les appli' dedans ? Car cela aurait été tip-top pour réinstaller facilement une ROM, comme c'est le cas avec les distributions GNU/Linux (pour ceux qui sont bien installé, car tout le monde ne fait pas forcément une partition dédié à la /home... ).
'Sur que l'iphone est beaucoup mieux à ce niveau là... Pour rappel la faille qui permet(tait) le jailbreak par une page web était autrement plus coriace que celle-ci... Personne n'est parfait en ce bas-monde et je préfère une faille découverte et documenté qu'une faille non encore découverte qui pourrait être exploitée sans que personne n'en sache rien
Ah ? Et pourquoi cela je te prie ?
Je pense surtout qu'il voulait dire que la phrase est mal construite, soit il manque un mot, soit il faut changer la tournure :)
c'est surtout que android et securiter sa va pas ensemble...
Je pense que tu n'as pas compris ce que je voulais dire. Pour un hacker, il a plus intérêt à attaquer Android que Meego (par exemple), à cause du nombre de gens qui pourront être affectés !
"mais les failles sont beaucoup facilement découvertes sur les plateformes populaires, car plus de personnes les utilisent" ?? ctrlc+ctrlv = FAIL !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix