Android : un bug d'envergure expose 80% des terminaux

Le par  |  13 commentaire(s)
Android-Oreo

D'après un rapport publié par une équipe de chercheurs en sécurité de MRW Labs, 80% des smartphones sous Android pourraient être exposés à de la récupération de données suite à la découverte d'une faille.

Selon des chercheurs de MRW Labs, il serait ainsi possible de créer simplement une application malveillante permettant de récupérer le contrôle du microphone ainsi que de l'affichage de l'écran de tous les smartphones équipés d'Android 5.0 à la version 7.

449€ sur Amazon* * Prix initial : 449€.

La faille repérée se situe au niveau du service MediaProjection, et il ne s'agit pas vraiment d'une faille, mais d'une simplification de la gestion des autorisations et accès dans Android depuis la version 5.0 qui permet de mettre en place une récupération des données très facilement.

Avant l'arrivée de MediaProjection dans Android, il fallait disposer d'un accès Root pour accéder au microphone et à l'écran du terminal. Or pour simplifier l'accès de ces fonctions aux applications, MediaProjection a directement accès à ces modules, seule une fenêtre vient indiquer à l'utilisateur l'accès à ces fonctions.

Or, il est très facile pour les pirates de remplacer les informations renvoyées par ces fenêtres. Au lieu d'indiquer la prise de contrôle de l'écran ou du micro, on peut ainsi indiquer à l'utilisateur un message du type "Merci d'avoir téléchargé et installé notre application" afin de lui dissimuler la capture de son écran.

Averti, Google a publié un patch correctif à destination d'Android 8.0 Oreo qui n'est pourtant installé que sur 0,3% du parc de smartphones Android dans le monde. Les versions 5,6 et 7 et dérivés sont toujours vulnérables pour l'instant, et cela représente 80% du parc de smartphones sous Android en activité.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1989218
"Google a publié un patch correctif " ... Ben voilà. Le nécessaire est fait. Plus besoin d'en pondre une pendule.

Et puis sur 90 % des failles rencontrées, quelle est la probabilité que nos terminaux seront hackés par ces dernières ?

Je ne dis pas qu'il faut laisser toutes les portes ouvertes mais même si on ferme la porte de sa maison, il est inutile de prévoir un champ de mines, 6 rondes nocturnes avec molosses affamés, un hélico avec surveillance thermique et un garde de sécurité par pièce... La probabilité d'avoir une invasion chez soi est infime. Quoique...
Le #1989223
Ulysse2K a écrit :

"Google a publié un patch correctif " ... Ben voilà. Le nécessaire est fait. Plus besoin d'en pondre une pendule.

Et puis sur 90 % des failles rencontrées, quelle est la probabilité que nos terminaux seront hackés par ces dernières ?

Je ne dis pas qu'il faut laisser toutes les portes ouvertes mais même si on ferme la porte de sa maison, il est inutile de prévoir un champ de mines, 6 rondes nocturnes avec molosses affamés, un hélico avec surveillance thermique et un garde de sécurité par pièce... La probabilité d'avoir une invasion chez soi est infime. Quoique...


... pour Oreo uniquement !!!

Moi j'appelle çà un coup de pub !!

J'ai mis 3 mois à me décider pour passer mon Nexus 6P en oreo. bon finalement c'est pas si mal et plus économe.

Mais je trouve chelou le correctif pour la dernière version (la moins répandue) et pas encore de correctif pour les précédentes ... Ne serait ce pas une façon détourné de nous dire venez mangez nos cookies ?
Le #1989224
Ulysse2K a écrit :

"Google a publié un patch correctif " ... Ben voilà. Le nécessaire est fait. Plus besoin d'en pondre une pendule.

Et puis sur 90 % des failles rencontrées, quelle est la probabilité que nos terminaux seront hackés par ces dernières ?

Je ne dis pas qu'il faut laisser toutes les portes ouvertes mais même si on ferme la porte de sa maison, il est inutile de prévoir un champ de mines, 6 rondes nocturnes avec molosses affamés, un hélico avec surveillance thermique et un garde de sécurité par pièce... La probabilité d'avoir une invasion chez soi est infime. Quoique...


"Ben voilà. Le nécessaire est fait. Plus besoin d'en pondre une pendule." =>Le patch concerne 0.3% (en considérant que tous les utilisateurs Andorid Oreo l'installent !) du parc des terminaux on ne peut pas dire qu'il s’agisse d'une finalité quand même, loin de là.

Bon après c'est plus un détournement qu'une faille à mon sens et je suis plutôt d'accord sur la deuxième partie de ton commentaire pour ce qui est du risque réel.
Le #1989232
Google a publié un patch correctif à destination d'Android 8.0 Oreo qui n'est pourtant installé que sur 0,3% du parc de smartphones Android dans le monde.

Tout le sérieux de Google en action.
Le #1989239
Je ne serai qu'à moitié étonné si c'était plus une feature qu'une faille...
Le #1989243
Et sur les 80% de smartphones exposé, y en aura combien qui recevront un jour une mise à jour ? 5% ?

C'est bien Android quand même pour tout ce qui est hack en tout genre, quand une faille est découverte et patchée, bah tu peux quand même continuer de l'exploiter
Le #1989262
Link179 a écrit :

Ulysse2K a écrit :

"Google a publié un patch correctif " ... Ben voilà. Le nécessaire est fait. Plus besoin d'en pondre une pendule.

Et puis sur 90 % des failles rencontrées, quelle est la probabilité que nos terminaux seront hackés par ces dernières ?

Je ne dis pas qu'il faut laisser toutes les portes ouvertes mais même si on ferme la porte de sa maison, il est inutile de prévoir un champ de mines, 6 rondes nocturnes avec molosses affamés, un hélico avec surveillance thermique et un garde de sécurité par pièce... La probabilité d'avoir une invasion chez soi est infime. Quoique...


... pour Oreo uniquement !!!

Moi j'appelle çà un coup de pub !!

J'ai mis 3 mois à me décider pour passer mon Nexus 6P en oreo. bon finalement c'est pas si mal et plus économe.

Mais je trouve chelou le correctif pour la dernière version (la moins répandue) et pas encore de correctif pour les précédentes ... Ne serait ce pas une façon détourné de nous dire venez mangez nos cookies ?


Ou changez votre appareil, car je n'ai eu aucune annonce pour Oreo sur mon Galaxy S7, j'imagine bien que seuls les S8 en verront la couleur.
Le #1989273
Ne vous inquiétez pas tous les fabricants vont bien sûr mettre à jour vos smartphones. Ah non pardon j'avais oublié que les maj c'est pendant 2 max, suis-je bête.
Anonyme
Le #1989276
Safirion a écrit :

Et sur les 80% de smartphones exposé, y en aura combien qui recevront un jour une mise à jour ? 5% ?

C'est bien Android quand même pour tout ce qui est hack en tout genre, quand une faille est découverte et patchée, bah tu peux quand même continuer de l'exploiter


...

Android powaaa !
Anonyme
Le #1989297
Gildarts a écrit :

Safirion a écrit :

Et sur les 80% de smartphones exposé, y en aura combien qui recevront un jour une mise à jour ? 5% ?

C'est bien Android quand même pour tout ce qui est hack en tout genre, quand une faille est découverte et patchée, bah tu peux quand même continuer de l'exploiter


...

Android powaaa !


Là sur le coup c'est pas tellement à androïd qu'il faut en vouloir mais plutôt à tous ces tas de feignasses qui ne savent qu'à assembler des composants et vendre ses produits. Pas de suivi derrière, que dalle !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]