Une vulnérabilité dans le navigateur d'Android permet de voler les fichiers stockés sur le téléphone

Hinault Romaric · 24/11/2010, 14h29

Une vulnérabilité dans le navigateur d’Android
permet de voler les fichiers stockés sur le téléphone

Une vulnérabilité de sécurité importante vient d’être découverte dans le navigateur de l’OS mobile Android.

Thomas Cannon, expert en sécurité informatique, vient de publier un billet sur son blog mentionnant la découverte d’une faille de sécurité dans le navigateur d’Android.

Cette vulnérabilité pourrait être exploitée par des pirates pour obtenir le contenu des fichiers stockés sur le téléphone lorsqu’une personne utilise celui-ci pour consulter leurs sites.

Thomas Cannon donne quelques explications sur le processus :

Lors du téléchargement d’un fichier, le navigateur d’Android n’invite pas l’utilisateur à définir le répertoire de sauvegarde de celui-ci : un fichier ‘payload.html’ est automatiquement téléchargé vers le répertoire «/sdcard/download ».

Il est possible en utilisant JavaScript d’ouvrir automatiquement le fichier « playload » en question, ce qui provoque un rendu local du fichier par le navigateur. En ouvrant le fichier Html dans un contexte local, le navigateur exécutera JavaScript sans alerter l’utilisateur. Dans ce contexte local toujours, JavaScript est capable de lire le contenu du fichier ainsi que d’autres données.

Une fois que le contenu du fichier est lu par JavaScript, il peut le publier sur le site web malveillant.

Pour pouvoir exploiter cette faille, le pirate doit cependant connaitre au préalable le nom et le chemin du répertoire dans lequel est stocké le fichier à dérober.

Cette vulnérabilité semble affecter toutes les versions d’Android, y compris la version actuelle 2.2.

L’équipe de sécurité d’Android a déjà été informée de cette vulnérabilité, qu'elle prend très au sérieux.

Un correctif a déjà été élaboré et est en cour de test.

Comme quoi, contacter l'éditeur sans faire de PoC fonctionne parfois.

Source : Le blog de Thomas Cannon

Et vous ?

Quel navigateur utilisez-vous sous Android ?

En collaboration avec Gordon Fowler

Flaburgan · 24/11/2010, 15h07

Citation:

Envoyé par Hinault Romaric

Comme quoi, contacter l'éditeur sans faire de PoC fonctionne parfois.

j'aime beaucoup ^^

Mais s'il vous plaît ne repartez pas dans ce débat ici...

Uther · 24/11/2010, 16h45

Citation:

Comme quoi, contacter l'éditeur sans faire de PoC fonctionne parfois.

Certes mais il aurait pu quand même attendre que le patch soit déployé avant de révéler la faille.

Médinoc · 24/11/2010, 16h51

Le truc vraiment pas intuitif pour l'utilisateur, et pas seulement sous Android, c'est cette histoire de "contexte local" vs. "contexte internet": Le fait que télécharger une page web et l'ouvrir depuis le disque dur lui donne des droits supplémentaires.

Il y a eu du progrès contre ça (comme la barre d'informations dans MSIE) mais il manque toujours l'option intermédiaire "faire comme si c'était sur internet" (en clair, plutôt que choisir entre ne pas exécuter les scripts du tout et tout exécuter sans restriction, exécuter les scripts dans le même contexte de sécurité que sur le web).

Munto · 13/12/2010, 00h59

Citation:

Envoyé par Flaburgan

Citation:

Envoyé par Hinault Romaric

Comme quoi, contacter l'éditeur sans faire de PoC fonctionne parfois.

j'aime beaucoup ^^

Mais s'il vous plaît ne repartez pas dans ce débat ici...

Qu'est-ce que signifie "faire un PoC" ? Sans vouloir repartir dans le débat, apparemment.

Flaburgan · 13/12/2010, 09h17

PoC signifie Proof of Concept.
Une preuve que ce qu'on avance est vrai. Généralement, c'est un bout de code qui exploite la vulnérabilité pour mettre en valeur celle-ci. Le problème, c'est que du coup, de nombreuses personnes voient comment l'utiliser, et parmi elles, certaines l'utilisent mal... Faire un PoC, c'est un peu dire à tous "regardez, ya une faille, voilà comment elle marche", et ainsi donner les infos aux pirates.

Le débat autour de ça, c'est que souvent quand le hacker qui découvrent la faille l'indique uniquement à l'éditeur, celui-ci ne se presse pas forcément pour la corriger. Une seule personne est au courant et ne l'utilise pas. Alors que si tout le monde est au courant, l'éditeur est bien obligé de la corriger rapidement, c'est donc un moyen, assez irresponsable, de forcer l'éditeur à corriger la faille, le problème étant que les utilisateurs mettent rarement leurs logiciels à jour, et que donc même une fois la correction créée, ils ne l'appliquent pas forcément, et donc les pirates qui utilisent la faille grâce au PoC sont toujours nuisibles.

24/11/2010, 14h29	#1
Hinault Romaric Chroniqueur Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 112 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 112 Points : 30 912 Points : 30 912	Une vulnérabilité dans le navigateur d'Android permet de voler les fichiers stockés sur le téléphone Une vulnérabilité dans le navigateur d’Android permet de voler les fichiers stockés sur le téléphone Une vulnérabilité de sécurité importante vient d’être découverte dans le navigateur de l’OS mobile Android. Thomas Cannon, expert en sécurité informatique, vient de publier un billet sur son blog mentionnant la découverte d’une faille de sécurité dans le navigateur d’Android. Cette vulnérabilité pourrait être exploitée par des pirates pour obtenir le contenu des fichiers stockés sur le téléphone lorsqu’une personne utilise celui-ci pour consulter leurs sites. Thomas Cannon donne quelques explications sur le processus : Lors du téléchargement d’un fichier, le navigateur d’Android n’invite pas l’utilisateur à définir le répertoire de sauvegarde de celui-ci : un fichier ‘payload.html’ est automatiquement téléchargé vers le répertoire «/sdcard/download ». Il est possible en utilisant JavaScript d’ouvrir automatiquement le fichier « playload » en question, ce qui provoque un rendu local du fichier par le navigateur. En ouvrant le fichier Html dans un contexte local, le navigateur exécutera JavaScript sans alerter l’utilisateur. Dans ce contexte local toujours, JavaScript est capable de lire le contenu du fichier ainsi que d’autres données. Une fois que le contenu du fichier est lu par JavaScript, il peut le publier sur le site web malveillant. Pour pouvoir exploiter cette faille, le pirate doit cependant connaitre au préalable le nom et le chemin du répertoire dans lequel est stocké le fichier à dérober. Cette vulnérabilité semble affecter toutes les versions d’Android, y compris la version actuelle 2.2. L’équipe de sécurité d’Android a déjà été informée de cette vulnérabilité, qu'elle prend très au sérieux. Un correctif a déjà été élaboré et est en cour de test. Comme quoi, contacter l'éditeur sans faire de PoC fonctionne parfois. Source : Le blog de Thomas Cannon Et vous ? Quel navigateur utilisez-vous sous Android ? En collaboration avec Gordon Fowler __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	30

24/11/2010, 16h51	#4
Médinoc Expert Confirmé Sénior Développeur informatique Inscription : septembre 2005 Messages : 21 464 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : septembre 2005 Messages : 21 464 Points : 28 729 Points : 28 729	Le truc vraiment pas intuitif pour l'utilisateur, et pas seulement sous Android, c'est cette histoire de "contexte local" vs. "contexte internet": Le fait que télécharger une page web et l'ouvrir depuis le disque dur lui donne des droits supplémentaires. Il y a eu du progrès contre ça (comme la barre d'informations dans MSIE) mais il manque toujours l'option intermédiaire "faire comme si c'était sur internet" (en clair, plutôt que choisir entre ne pas exécuter les scripts du tout et tout exécuter sans restriction, exécuter les scripts dans le même contexte de sécurité que sur le web). __________________ SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant. "Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?" Apparently everyone. -- Raymond Chen. Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.
	00

13/12/2010, 09h17	#6
Flaburgan Modérateur Développeur informatique Inscription : avril 2010 Messages : 1 037 Détails du profil Informations personnelles : Sexe : Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Électronique et micro-électronique Informations forums : Inscription : avril 2010 Messages : 1 037 Points : 2 479 Points : 2 479	PoC signifie Proof of Concept. Une preuve que ce qu'on avance est vrai. Généralement, c'est un bout de code qui exploite la vulnérabilité pour mettre en valeur celle-ci. Le problème, c'est que du coup, de nombreuses personnes voient comment l'utiliser, et parmi elles, certaines l'utilisent mal... Faire un PoC, c'est un peu dire à tous "regardez, ya une faille, voilà comment elle marche", et ainsi donner les infos aux pirates. Le débat autour de ça, c'est que souvent quand le hacker qui découvrent la faille l'indique uniquement à l'éditeur, celui-ci ne se presse pas forcément pour la corriger. Une seule personne est au courant et ne l'utilise pas. Alors que si tout le monde est au courant, l'éditeur est bien obligé de la corriger rapidement, c'est donc un moyen, assez irresponsable, de forcer l'éditeur à corriger la faille, le problème étant que les utilisateurs mettent rarement leurs logiciels à jour, et que donc même une fois la correction créée, ils ne l'appliquent pas forcément, et donc les pirates qui utilisent la faille grâce au PoC sont toujours nuisibles. __________________ "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla Je soutiens Diaspora*, le réseau social libre. Veillez à porter une attention toute particulière à l'orthographe... Blog collaboratif avec des amis : http://geexxx.fr
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email