MWR Labs, spécialisé dans la sécurité informatique, a publié deux rapports de vulnérabilité assez inquiétants concernant trois smartphones. Il s’agit des LG G3, G4 et G5. La gravité de la faille est jugée haute selon les spécialistes.
C’est l’application SmartShare.Cloud, utilisée par les trois terminaux et fournie par LG, qui est pointée du doigt. Celle-ci permet de faire le pont entre des applications nativement installées et des services de stockage sur le cloud, tels que Dropbox ou Box. La manière dont les smartphones sauvegardent et récupèrent des données sur ces plateformes présentait des lacunes en termes de sécurité.
Grâce à la faille, un hacker utilisant le même réseau que la victime peut rendre un fichier ou dossier — dont il connait le nom — partageable sans avoir besoin de confirmation ou d’authentification de la part de l’utilisateur pour ensuite le récupérer quand bon lui semble.
Des failles très importantes
Ladite vulnérabilité fournissait des occasions d’attaques par traversée de répertoires. Cela permet aux attaquants de changer l’appel de l’API vers Dropbox pour supprimer toute demande d’authentification. Cela est dû au fait que SmartShare.Cloud ne prenait pas le temps de confirmer le fait que les paramètres de l’URL ne contenaient pas de caractères malveillants.
En outre, l’écoute de serveur HTTP utilisée par l’application SmarShare.Cloud était mal protégée. Par conséquent, une personne mal intentionnée avait seulement besoin de se connecter au même réseau Wi-Fi que sa victime pour avoir accès à ses fichiers sur les services de cloud.
Mise à jour
Il est assez rare, voire inédit, que trois smartphones différents soient sujets à la même vulnérabilité. Cependant, même si la faille a été jugée grave, on peut se rassurer en se rappelant que les pirates devaient remplir plusieurs conditions restrictives pour pouvoir en profiter (même réseau, connaissance du nom du fichier). En outre, MWR Labs précise qu’une mise à jour OTA (version 2.4.0) de SmartShare.Cloud permet d’atténuer le problème. Si vous n’avez pas encore reçu ladite mise à jour, prenez garde à éviter d’utiliser les services mis en cause pour l’instant.
Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !
Mdr c'est quoi ta source pour tes chercheurs en médecine que je rigole? Forcément si l'employé à accès direct aux données aussi. ^^ Les entreprises stockent ça sur leurs propres serveurs pour la confidentialité mdr, genre elles vont aller utiliser Google Drive et compagnie ^^ T'es vraiment persuadé de tes conneries toi c'est fantastique ^^ J'essayais juste de te donner des arguments pour te le faire comprendre mais je vois que c'est peine perdu. Bonne chance pour la suite ;)
Les chercheurs en médecine disent de pas sortir de chez toi et de ne pas essayer de te reproduire parce que tu pourrais attraper une merde.... Toutes les fois où j'aurais pu choper des informations sensibles en entreprise et notamment pour des hopitaux, il n'y avait nullement besoin d'un cloud.... D'ailleurs bien souvent les entreprises sont moins bien pourvues que les clouds niveau sécurité, ça c'est bien connu et tu le sauras quand tu bosseras en entreprise toi aussi J'ai le mérite d'avoir mon expérience, mon avis propre, je n'utilise pas les "chercheurs" à tout bout de champ pour justifier une paranoïa qui n'a bien souvent que peu de chances... Il y a tellement de moyens de tout savoir sur toi sans jamais avoir recours au cloud.... Chaque fois que quelqu'un me dit que j'ai des certitudes, cette personne en a aussi, je sais pas si ça doit me rassurer...
Une faille tu le sais pas forcément quand elle est exploitée. Et pas sur que l'entreprise veuillent communiquer dessus non plus. Sisisi les chercheurs en sécurité le disent de ne pas utiliser le cloud pour des données persos. Et les entreprises aussi l'obligent (du moins pour celles qui le savent et l'appliquent). Tu verras quand tu bosseras en entreprise ^^ Mais bon t'es tellement sur de toi que jte laisse avec tes certitudes ;)
Les failles il faut les exploiter et quand elles le sont t'es forcément au courant soit par ceux qui l'ont exploitées ou par ceux qui se sont fait exploités.... Les comptes volés des autres rien à foutre tout comme ceux qui se font voler leur téléphone, après la paranoïa, l'hypocrisie, t'as un beau palmarès :D Non c'est pas de l'égocentrisme, c'est un avis....t'es à fond dans le "moi je" et avec ton dernier paragraphe t'es hautain et au dessus de tout, décidément... Les chercheurs en sécurité disent d'éviter de laisser des failles mais pas d'éviter le cloud parce qu'il est inévitable tout comme il est inévitable que beaucoup de monde savent et détiennent à ton sujet sans passer par le cloud et ce depuis ta naissance... Je ne me sens pas plus intelligent, je me sens avoir des besoins et y réfléchir....toi t'as juste besoin d'aller dans une grotte visiblement....fait gaffe t'as surement des voisins qui t'ont vu rentrer chez toi ce soir ;)
Qu'est ce que t'en sais que tu t'es pas fait voler tes photos sur le cloud Google? C'est pas les failles qui manquent ^^ Le cloud quand il y a une faille c'est des millions de comptes touchés, alors que ton téléphone volé c'est une seule personne. "Mais comme ton commentaire sent bien fort l'égocentrisme je doute que tu arrives à réfléchir à tout ça..." Parce que c'est pas égocentrique ça ptetre? Moi je sais réfléchir et pas toi blablabla. Maintenant je te laisse méditer sur les conneries que tu viens de raconter. ;) Si tous les chercheurs en sécurités disent d'éviter le cloud pour des données persos, si les entreprises interdisent d'utiliser Google Drive et autres, y'a ptetre une raison non? Mais bon tu dois sûrement te sentir plus intelligent que tous ces gens la ^^
Je me suis jamais fait voler mes photos non plus que ce soit sur des cloud style google ou autres et mes relations ne se sont pas fait voler leurs photos dans le cloud qui est sur un serveur chez moi....mais il y a tellement de cambriolages.... En 2014 il y avait plus de 1 800 vols de portable par jour en france...il y a pas autant de chance de se faire voler sur le cloud...ou alors tu habites un coffre fort et n'en sort jamais.... Mais comme ton commentaire sent bien fort l'égocentrisme je doute que tu arrives à réfléchir à tout ça...
Lol le titre et le début des explications... À lire ça ça semble être la faille du siècle et kil faut réagir direct, à tt prix... Sérieux, lol Déjà faut vouloir utiliser la dite App pré installée. Ki l'utilise réellement ? Déjà ayant un spirit et g5 je ne les utilise pas, un ami qui qui a un g3s j'en parle même pas car il ne fait même pas le 10ème de ce que je fais et il préfère retirer la sd que de transférer en sans fil chez lui... Ensuite même si on voulait utiliser l'app, je l'avais vu sur le spirit, ça ne propose rien à part en gros Dropbox alors si on y est pas... Après faut ke le pirate soit connecté sur le même réseau, ce ki veut dire kil fait kil ai les identifiant et mot de passe, donc ça déjà bon, mais en plus à en gros moins de 10m de l'utilisateur pr pouvoir utiliser le réseau WiFi ou cellulaire ! Donc ya quasi aucun risque à mon goût. Faut arrêter d'être toujours si dramatique pour tout comme les soit disant virus ou malware qui détruisent tout sur smartphone mais encore faut que le dit smartphone soit rooté, si pas rooté, ya franchement quasi aucun souci possible si pas de droits admin.
Alors ça jcrois pas non. Y'a bien plus souvent des failles dans le cloud que de risque qu'on me vole le mien (en plus un vieu nexus 5 qui en veux?). A partir du moment ou tu mets tes photos dans le cloud elle ne t'appartiennent plus déjà mais tu donnes la propriété à Google ou autre. Mon téléphone je me le suis jamais fait volé. Et si on veut essayer faudra me tuer ^^
Jme fait pas tiré mon téléphone moi t'es fou. Jpréfère crever que de le donner ^^ bah forcément si on me vole le téléphone ils peuvent récupérer les photos qu'il y a dessus (avec ou sans cloud). Ceci dis je les transfert sur mon pc au fur à mesure.
Aie. Sachant que le LG G3 n'a plus de màj système. Et que même pour passer d'Android 5 à Android 6, il faut passer par un PC et le faire manuellement...<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
suffi de couper la data quand on s en sert pas et voila.............
et alors tu te fais tirer ton portable, c est pas plus securisé......... L avantage du cloud c est que tu recupere les donnée de n importe quel appareil............
Je pense que peu de personne se servent de ce service ou pire peu sont les personne a l'avoir peu être démarrer donc le risque est pas si grand que ça sauf s'il permet l'accès au smartphone sans se servir de ce dernier. Après du moment qu'un patch est rapidement distribué je ne vois ou est le problème sachant que les restrictions rendent difficile l'utilisation de cet faille et qu'elle n'a peu être jamais été utiliser à de tel fins. Donc le préjudice est pas si grand que ça. On ne peu dire que je ne fait que défendre mais je veux juste prouver qu'il n'y a pas de quoi s'affoler rien n'est parfait tout à des failles, et pourtant ce n'est pas ça qui nous empêche d'acheter et de consommer.
Moi je cherche un bon ordi que peut-on me conseiller entre Un ROG asus gl752vw ty020t Ou un Hp Omen 17" ? ??
Grillé !
Non.
Dans ce cas là évite de faire des photos avec ton tel, t'as plus de chances de te le faire voler et qu'on voit tes photos que de te les faire prendre dans le cloud...
Bah c'est deux services différents même si jsuis d'accord ca reste du cloud.
Chut en plus c'est a moitié zoophile jsuis un peu spécial ^^
un hacker utilisant le même réseau que la victime peut rendre un fichier ou dossier — dont il connait le nom — Moi je trouve ça plus drôle que inquiétant quand on lit ça xD
C'est le bouton bleu sur la zapette pour améliorer l'image chez LG.
Gazgaz il a une sextape, Gazgaz, il a une sextape... :-D
Par exemple.
Comment ça c'est différent de Google Drive? Où sont tes mails Gmail sinon dans le Drive?
Je parlais du stockage de fichiers dans le cloud. Et mes commentaires jm'en fou qu'on les lise, par contre mes photos perso ça me dérange un peu plus déjà.
Je parlais du stockage de fichiers dans le cloud (photos, ou autres fichiers). ;) Pour les mails jpasse par Gmail, donc oui c'est dans le cloud mais différent de Google Drive. J'ai la fleme de monter mes mails hébergés chez moi (et puis ca sert a rien si tu parles à un contact gmail).
On coupe internet et on aura plus de failles, on utilise plus d'ordi plus de failles non plus....elle est chouette ta solution ;D
Et là t'as envoyé ton commentaire par la poste, il l'ont publié sur leur site qui est forcément sur le cloud et ils t'ont envoyé une copie papier pour t'assurer que c'est publié....
Stagefright? Pourtant ils en ont fait des articles dessus, mais ils ont déjà oublié faut croire ^^
Comment tu envoies un mail? Et comment tu le reçois ?
Ça change quoi la taille des DDs au fait qu'un fichier sur mon PC chez moi doit être partagé si je veux y accéder depuis un autre poste, mon mobile... Et si tu me dis ne pas utiliser le cloud, je te suggère "M. Jourdain" comme pseudo.
<blockquote> Il est assez rare, voire inédit, que trois smartphones différents soient sujets à la même vulnérabilité </blockquote> J'ai bien des exemples en tête de bugs d'un composant logiciel, comme ici, qui ont concerné bien des appareils, pas nécessairement du même constructeur.
oui indispensable dans le cas de perte de l'appareil, moi tout est sur drive et photos !
le deport massif des donnés sur le cloud est la concequence inevitable de ce type de failles. Et qui a vraiment besoin de ces clouds en pratique, vue la taille des memoires et le faible cout des DD? cherchez bien.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Quelle idée d'utiliser le cloud aussi ^^ Je l'ai toujours dis, le cloud c'est pour des truc pas important, pas pour des trucs perso.
"b****l" bucal ?
Cqui m'inquiète plus, c'est la faille de sécurité "découvert"... la faute s'entend à l'oral b****l !
et ben bravo. et le bootloop sur ces modèles on en parle ? <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
bbbrrr vachement inquiétant ! pas de quoi améliorer l'image de LG... :-(
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix