L’Android Market a été patché contre une faille XSS. Elle permettait d’installer des applications à distance, sans le consentement de l’utilisateur.
L’Android Market web a été annoncé en même temps que la version finale de Honeycomb. Cette boutique avait été présentée au Google I/O 2010, mais il aura fallu attendre de longs mois avant qu’il ne soit accessible au grand public. Globalement il remplit correctement sa tâche, mais certains utilisateurs (de ROMs alternatives notamment) se plaignent de ne pas pouvoir l’utiliser. De même, il est fréquent que le service soit indisponible.
Les problèmes se suivent pour Google, qui vient à nouveau de subir (indirectement) une vulnérabilité sur son système Android. La semaine dernière, plus de 50 applications utilisaient un trou de sécurité. Il pouvait attribuer un accès root et ainsi communiquer des données, sans que l’utilisateur ne s’en rende compte. Aujourd’hui, nous apprenons que l’Android Market a été une nouvelle fois la victime d’une faille. Cette fois-ci, il s’agit de la version web. La vulnérabilité est de type XSS, c’est-à-dire cross-site scripting, une faille permettant un changement du comportement normal du service. Dans le détails, il permet à un hackeur d’installer à distance une application, sans même demander l’autorisation à l’utilisateur.
Cette découverte a été faite par un spécialiste en sécurité Android, Jon Oberheide. Elle se trouve dans le champs de description d’une application sur le Market. Ce champs pouvait permettre aux hackers d’injecter du code Javascript, qui est exécuté lorsque le navigateur se rend sur la page. Un script malveillant pouvait donc utiliser le processus d’installation à distance, à condition que l’utilisateur soit identifié.
Par chance, le processus ne lance pas l’application installée sur le téléphone, pour la majorité d’entre elles. En effet, si dans le manifest, l’application déclare nécessiter d’autres installations (PACKAGE_ADDED) ou d’être réveillée en standby (ACTION_USER_PRESENT), elle va pouvoir répondre à des appels extérieurs. D’après les retours, la faille était relativement complexe, ce qui empêchait n’importe quel individu de l’utiliser. Depuis, Google a bouché le problème.
De nombreux professionnels avaient souligné le caractère dangereux de l’installation d’applications à distance. Celui implémenté par Google est particulièrement risqué, car aucune interaction ne doit être effectuée par l’utilisateur, sur le périphérique cible. La seule indication est l’apparition de l’application dans la zone de notifications. Espérons que Google renforce sa politique sécuritaire, sans quoi Android se verrait décrédibilisé.
Source : H Online
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
C'était juste pour chercher la mouche, rien de méchant ^^ Personnellement je m'en cale complètement qu'il y ait une ou deux fautes sur un article, je suis pas un représentant de l'académie française contrairement à certains ici :P
pour la plupart des utilisateurs, ca revient au meme...
Les virus sont quasi inexistant sur linux (Android) et il y a heureusement peu de chance que cela change. Comme on a pu le voir se sont plutôt les Malware qui sont à craindre.
A l'époque de la faille permettant le téléchargement et l'installation cachée d'application, j'ai réalisé une application pour me protéger des installations cachées. Il faut encore que je l'améliore (simplifier la configuration, traduire en français) mais je vous la conseille tout de même pour être toujours au courant des applications installée sur votre smartphone. Pour l’anecdote : Le 19/12/2010 12:58 Bonjour, L'application Android Market 2.2.7 a été installée sur votre smartphone. Cordialement, AppNotifier http://market.android.com/details?id=fr.chronosweb.android.appnotifier
"50 applications utilisaient une trou de sécurité" c'est pas non plus une grosse faute .....
On y réfléchit en effet
Euhhh comment ca une faute sur le lien ?
Surtout quand il y a une faute sur un lien, même en survolant l'article on est sur de la voir xD
C'est clair, pour moi c'est carrément 50% de l’intérêt du Market Web... Devoir confirmer à chaque fois sur le smartphone, pffiou... Autant passer par le smartphone directement.
" il faut éviter de télécharger les applications avec peu de téléchargement et surtout peu de notes ou peu de bonne notes." Ouais mais là, c'est la porte ouverte à toutes les magouilles commerciales possibles alors. Pas une solution non plus donc.
En dehors de la news, je pense qu'il faudrait mettre en place un système de validation plus performant car les fautes ne sont pas rares lors de la publication d'article sur frandroid. Dmg pour l'image "pro" du site
c'est certain qu'Android devenant le premier OS (d'ici peu) et les smartphones un enjeu clé, il risque d'y avoir beaucoup de personnes mal intentionnées attirées. Espérons que Google soit réactif.
+1, le fait de pouvoir faire sa "downlist" sur le web serai amplement suffisant, Une simple confirmation sur l'appareil, pourquoi pas une seul pour toute la "downlist" et au moins l'utilisateur du MOBILE aurai toujours le dernier mot..
C'est un expert en sécurité parce qu'il passe ses journées à faire ça. Si ça se trouve c'était une XSS extrêmement basique mais comme Google s'est dit : "le mec qui publie son appli est un gentil et ne va rien faire de mal sachant qu'on sait qui il est". Je suppose que personne ne voulait tester avec sa vraie appli par peur des retombées. Quelqu'un qui veut tester la solidité du truc se fait un compte pour le besoin et s'amuse sans se soucier du fait que son compte temporaire peut être fermé.
Si c'est un expert en sécurité qui trouve la faille et permet a Google de la corriger, tant mieux. Le mec n'est surement pas un amateur donc cette faille n'était pas à la portée de n'importe qui. Aucun système n'est 100% sécurisé, Google n'est pas infaillible, et pour le moment le market Android tiens la route car aucun hackeur mal intentionné n'a pu exploiter une telle faille pour nuire aux utilisateurs.
rah non c'est trop pratique ! à la limite une option pour virer la confirmation :D ..ensuite c'est sur il faut pas que n'importe qui puisse envoyer le message qui vas bien pour lancer un installation !
Pour moi, cette installation silencieuse est vraiment une très mauvaise idée. Si il pouvait juste y avoir une confirmation sur le téléphone, le système serait plus sur ;)
Moi je pense que google devrait analyser au minimum les applications du market :/ heureusement il y a les droits qui sont affichés avant l'installation (et encore j'imagine que très peu de personne ne les lisent)
Le problème c'est que les utilisateurs du Market ont une confiance aveugle alors que ce Market ne garanti en aucun gars la légitimité des applications qui y sont distribuées. De manière générale, il faut éviter de télécharger les applications avec peu de téléchargement et surtout peu de notes ou peu de bonne notes. Quelque soit l'OS mobile ou la plateforme de distribution d'application, il est facilement possible pour un développeur de faire une application qui a accès aux données privés et qui peut les envoyés par Internet en utilisant le SDK sans exploiter aucune faille de sécurité ... et ça, aucun contrôle ne peux y faire quoi que ce soit. L'autre problème, ceux sont les failles de sécurité connues et corrigées d'Android mais qui ne sont corrigées dans les dernières versions de l'OS et dont la majorité des appareils d'Android n'auront jamais la mise à jour incluant la correction ... c'est un peu comme un Windows sans Windows Update, ça tient pas longtemps en terme de sécurité.
TIPYAK !!!!!!!
Pour que cette faille puisse être exploitée, il fallait que le hacker publie une application sur le Market et que l'utilisateur ale consulter la page détail de son application sur le Market, une fois authentifier avec son compte Google ... peu probable pour la majorité des utilisateurs si l'application à 0 downloads et est peu/pas/mal noté. Enfin, tant mieux que cette faille de sécurité soit corriger. Ça fait un peu amateur pour Google quand même.
Android victime de son succès, j'ai peur qu'on voit apparaitre de plus en plus de virus sur l'OS et applications frauduleuses dans un futur proche.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix