Android : une faille de 4 ans ouvre la porte aux malwares sur 99% des dispositifs

Le par  |  14 commentaire(s) Source : The Verge
logo-android

Des experts en sécurité viennent de déclarer avoir repéré une défaillance dans le système mobile Android permettant à des logiciels malicieux de corrompre 99% des appareils du marché.

D’après des professionnels de la sécurité, un bug dans Android permettrait à des trojans et autres codes malicieux de se faire passer pour des applications vérifiées, masquant la présence d’un malware au sein d’un programme.

malware_Android_BT-GNTBluebox Labs explique également que ce bug existe depuis la sortie d’Android 1.6 Donut et qu’il affecte 99% des dispositifs opérant sous Android.

Normalement, les applications sont vérifiées avec des signatures chiffrées, de sorte que les mises à jour modifiées sont automatiquement rejetées si la clef ne correspond pas à celle fournie par le développeur de l’appli. Mais Bluebox déclare avoir trouvé un moyen de modifier le fichier APK d’une application sans en modifier la signature.

Une modification qui permettrait à des individus peu scrupuleux d’ajouter des codes malicieux dans les dispositifs dans le cadre d’une attaque proposant à des utilisateurs de télécharger une mise à jour corrompue.

La question de la diffusion de ces mises à jour est théorique, et c’est pourquoi la faille a peu de chance d’avoir été exploitée à ce jour. Son exploitation n’est pas possible depuis le Google Play, mais un utilisateur pourrait être tenté d’accéder à une mise à jour de son application depuis un site tiers ou des marchés d’applications privés.

Le Bug sera difficile à avaler pour les utilisateurs d’Android restés bloqués à d’anciennes versions de l’OS. Il parait difficile de croire que les fabricants proposeront une mise à jour spécifique à ce problème vers des appareils qui ne sont plus supportés depuis plusieurs années déjà.

Découverte depuis février 2013, Bluebox indique que c’est aux fabricants de proposer chacun leur patch correctif. Samsung aurait presque immédiatement patché son Galaxy S4, mais étrangement, la gamme Nexus n’est pas encore concernée par la mise à jour.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1392312
Comme d'habitude, on commence par nous annoncer la fin du monde pour conclure qu'en pratique, on ne risque rien. De toutes façons, les sécurités basées sur une signature sont de la foutaise et il ne faut jamais s'y fier, c'est un principe de base. Il faut arrêter d'appeler sécurité des délires de flics et d'universitaires.
Le #1392322
""Son exploitation n?est pas possible depuis le Google Play, mais un utilisateur pourrait être tenté d?accéder à une mise à jour de son application depuis un site tiers ou des marchés d?applications privés.""

Google n'autorise pas les applications du store à se mettre à jour par des sites tiers. Ils avertissent aussi les utilisateurs sur le danger d'installer des appli en dehors du store.
Après c'est comme tout, le système peut être sécurisé au maximum, si le mec qui utilise la machine est un gland, ça finira toujours mal.
Le #1392352
Les utilisateurs d'Android vont bypasser les restrictions pour les mêmes raisons qui font que le jail breaking existe: la liberté de choisir.
Avec la part du marché qu'occupe Android, je m'inquièterais de la présence de cette faille dans du code Open Source. 4 ans avant d'être découverte ? Sachant la gravité de celle-ci, les hackers vont trouver un moyen de l'exploiter si Google ne la comble pas.
Le #1392372
Qui s'y frotte, s'y pique ....
un bon vieux bug, qui a la dent solide ....!!!!
Le #1392382
J'ai moi-même un mobile rooté, avec la possibilité d'installer des applis directement via une carte micro-SD. Et j'avoue que ça pue en fait, le tel ne tient plus la charge, les mise à jour sont impossible (en même temps la plupart des utilisateurs android ont une version qui date de 4 à 5 ans..) Donc ça m'étonne pas qu'il y ai ce genre de beug... Et 4 ans pour le décelé alors que chez cupertino ça serait 4 jours...

Trop de laxisme de la part de google concernant Android... J'espère que les conséquences ne seront pas trop graves.
Le #1392442
chibre a écrit :

""Son exploitation n?est pas possible depuis le Google Play, mais un utilisateur pourrait être tenté d?accéder à une mise à jour de son application depuis un site tiers ou des marchés d?applications privés.""

Google n'autorise pas les applications du store à se mettre à jour par des sites tiers. Ils avertissent aussi les utilisateurs sur le danger d'installer des appli en dehors du store.
Après c'est comme tout, le système peut être sécurisé au maximum, si le mec qui utilise la machine est un gland, ça finira toujours mal.


Bien entendu que tu peux mettre à jour une app signée à partir d'un site tiers même si l'installation initiale a été effectuée à partir du Play Store.
C'est ce qui permettait l'installation de beta avant qu'ils n'intègrent cette fonction de façon native.
C'est pour cela que cette faille est grave. N'importe qui peut repackager l'app après l'avoir modifiée et en usurper la signature pour enfin la proposer en ce faisant passer pour le dev par exemple
Le #1392482
+1 penseurodin

Les signatures ne sont pas infaillibles. Ce n'est pas nouveau.

Donc, ce bug n'est pas une vrai faille.

Mais ça va faire peur à ceux qui ne connaissent pas bien les signatures. Déjà 4 commentateurs sur 6 ici, ont peur, puisqu'ils considèrent que c'est "grave", alors que ce qui est grave, c'est de se fier aux signatures. C'est comme se fier à une photo.
patheticcockroach Hors ligne VIP 7663 points
Le #1392642
billgatesanonym a écrit :

+1 penseurodin

Les signatures ne sont pas infaillibles. Ce n'est pas nouveau.

Donc, ce bug n'est pas une vrai faille.

Mais ça va faire peur à ceux qui ne connaissent pas bien les signatures. Déjà 4 commentateurs sur 6 ici, ont peur, puisqu'ils considèrent que c'est "grave", alors que ce qui est grave, c'est de se fier aux signatures. C'est comme se fier à une photo.


Euh, ouais enfin si se fier aux signatures c'est complètement nul, pourquoi OpenPGP il se décarcasse? Certes la signature ne fait pas tout, mais c'est un éléments parmi d'autres qui permet de s'assurer un minimum de la provenance de l'appli. Le kernel de linux est signé, Freenet est signé, Tor est signé, gnupg est signé (ok, lui ça serait le comble, mais bon). C'est quand même pas un hasard. Et c'est une "vraie" faille si n'importe qui peut signer n'importe quoi.
Le #1392732
Ne vous inquietez pas, les services de renseignements ont un backup.
Le #1393542
"Son exploitation n’est pas possible depuis le Google Play, mais un utilisateur pourrait être tenté d’accéder à une mise à jour de son application depuis un site tiers ou des marchés d’applications privés"

Comme quoi un iOS ou WP8 fermé ça a du bon.

Ca va ? Pas trop trollesque comme remarque ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]