IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Android : face à la lenteur des constructeurs, des chercheurs publient ReKey
Pour corriger la vulnérabilité touchant 99 % de smartphones

Le , par Hinault Romaric
25 commentaires

62PARTAGES

0  0 
Android : une faille permet de transformer les applications légitimes en chevaux de Troie
99 % de terminaux sous l’OS affectés

Les chercheurs en sécurité du cabinet spécialisé dans la sécurité mobile BlueBox ont découvert une faille critique dans Android.

Cette vulnérabilité touche les versions d’Android sorties ces quatre dernières années (depuis Android 1.6 – Donut), ce qui représente 99 % de smarphones sous l’OS mobile.

Elle peut être exploitée par un pirate pour modifier le code d’un APK (package d’une application Android) légitime, sans casser sa signature cryptographique. Le pirate peut alors modifier n’importe quelle application légitime et la transformer en un cheval de Troie qui pourra être utilisé pour dérober les données d’un utilisateur (e-mail, SMS, documents, etc.), récupérer tous les mots de passe des services qui ont été stockés ou contrôler totalement son smartphone.

La faille proviendrait des différences dans la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature.


Bluebox prétend avoir informé Google sur l’exploit depuis février dernier, et que la firme aurait transféré l’information aux constructeurs. Mais à cause de la fragmentation de la plateforme et du retard des constructeurs dans la publication des mises à jour, un nombre important d’utilisateurs sont encore exposés.

Les détails sur la faille seront présentés lors de la conférence sur la sécurité Black Hat de Las Vegas, qui aura lieu à la fin de ce mois.

Bluebox conseille aux utilisateurs d’éviter les galeries d’applications non officielles et d’installer les applications uniquement à partir de Google Play, après avoir identifié l’éditeur.

Source : Bluebox

Et vous ?

Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?
Vous avez lu gratuitement 7 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

25 commentaires
Commenter Signaler un problème
getz85
Avatar de getz85
Membre confirmé https://www.developpez.com
Le 19/07/2013 à 10:36
Citation Envoyé par transgohan Voir le message
Je vais peut être dire une bêtise mais je vois mal comment on peut avoir des privilèges super-utilisateurs avec une ROM constructeur (ou pire opérateur)...

Quelqu'un pour un éclaircissement ?
J'ai les droits super-utilisateurs, et j'ai gardé la ROM constructeur. Il suffit juste de rooter le téléphone, il y a énormément de tutos selon le téléphone pour faire ça. Rooter ton téléphone ne t'oblige pas à installer une ROM custom.
1  0 
transgohan
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 19/07/2013 à 10:18
Je vais peut être dire une bêtise mais je vois mal comment on peut avoir des privilèges super-utilisateurs avec une ROM constructeur (ou pire opérateur)...

Quelqu'un pour un éclaircissement ?
0  0 
nicroman
Avatar de nicroman
Expert éminent https://www.developpez.com
Le 19/07/2013 à 12:56
Il y a aussi un autre moyen de ne pas être touché.... ne pas télécharger d'appli sur des app-store non vérifiés...

Pas besoin de root, pas besoin d'installer une appli en mode système....

Quant à "ROOTER" son téléphone il consiste juste à remplacer le kernel pour lui donner la commande "su" (en général SuperSU)... Cette opération est décrite en détail pour toutes les ROMs constructeurs (hélas, pas les ROMs opérateurs).
0  0