Android : de nouvelles sources de menace à l'horizon, des chercheurs s'apprêtent à publier un framework d'expl

[tarikbenmerar]

Android : de nouvelles sources de menace à l'horizon
Des chercheurs s'apprêtent à publier un framework modulaire d'exploit


Une nouvelle source de menace pour l'OS Android se profile. Deux experts en sécurité affirment qu'ils publieront le mois prochain un nouveau framework open source modulaire appelé AFE (Android Framework for Exploitation).

Cet outil permettra à toute personne bien intentionnée (ou pas du tout !) de créer et de personnaliser son application Android malveillante. Adity Gupta et Subho Halder sont les deux créateurs derrière cet outil, et se considèrent comme des « white-hat hackers », spécialisés dans la sécurité mobile.

Ils présenteront leur Framework dans le ToorCamp, qui se déroulera ce mois-ci dans l'état de Washington, ainsi que dans la NullCon prévue à Delhi le mois prochain.

Les modules raccourcissent considérablement le temps et simplifient le développement d'un logiciel malveillant. Ils permettent à l'utilisateur de choisir parmi 20 fonctionnalités préconstruites, comme la récupération des contacts, des emails, des données de la carte SD, ou l'accès à l'emplacement du mobile en utilisant le dispositif GPS. On peut même forcer la numérotation de n'importe quel numéro premium.

AFE est essentiellement écrit en PHP, Ruby, Bash et Python.

Les deux experts considèrent cet outil comme une option plus dévastatrice que la méthode "classique", qui requiert de prendre « une application légitime, la décompiler en utilisant APKTool ou Dex2Jar et JF-GUI, insérer nos codes, puis la redistribuer ». En effet, cet outil permet de masquer le malware en tant qu'application légitime, tels un explorateur de fichier, ou un jeu Tic Tac Toe, pour faciliter sa dissémination dans Google Play.

Après distribution, il ne reste plus qu'à tromper l'utilisateur pour l'amener à télécharger l'application via l'Android Marketplace, qui permet aux développeurs de publier des applications de façon anonyme.

Mais qu'est-ce qui pousse deux White Hats à mettre une telle plaie entre les mains des pirates en herbe ? Les chercheurs ne l'expliquent pas, en tout cas pas avant le ToorCamp.
Mais on se doute qu'ils fassent partie de ces nombreux chercheurs qui croient que Google pourrait mieux faire pour protéger les utilisateurs de sa plateforme.

Afin de détecter ces menaces, Google a pourtant mis en place en février dernier un mécanisme appelé Bouncer, conçu pour détecter automatiquement les comportements malveillants. Néanmoins, une présentation au Black Hat le mois dernier a permis d'illustrer par quelle facilité ce Bouncer peut être vaincu.

La semaine dernière, Google a aussi mis à jour le guide des développeurs d'applications Android publiées dans le Google Play, afin de contrer le problème des spams, des applications truquées et celles qui violent la vie privée. Les applications existantes seront supprimées en 30 jours, si leurs développeurs ne suivent pas la ligne directrice fixée par Google.

Espérons que ces mesures seront assez suffisantes pour protéger les utilisateurs d'Android.



Source : SCMagazine

Et vous ?

Que pensez-vous de la démarche et des motivations de ces deux chercheurs ?

[Sylvaner]

Citation:

Envoyé par tarikbenmerar

Que pensez-vous de la démarche et des motivations de ces deux chercheurs ?

Foutre le bordel ? Se faire un nom pour quelques mois ? Trouver un poste chez Google ?

En quoi donner l'accès à n'importe qui, la possibilité de foutre le bordel dans des téléphones peut être une avancée...

Bon google va devoir agir etc... Mais le problème, c'est tout les utilisateurs qui ne mettent pas à jour leurs smartphones (quelque soit le système d'exploitation de ce dernier).

[Paul TOTH]

Citation:

Envoyé par Sylvaner

Foutre le bordel ? Se faire un nom pour quelques mois ? Trouver un poste chez Google ?

En quoi donner l'accès à n'importe qui, la possibilité de foutre le bordel dans des téléphones peut être une avancée...

Bon google va devoir agir etc... Mais le problème, c'est tout les utilisateurs qui ne mettent pas à jour leurs smartphones (quelque soit le système d'exploitation de ce dernier).

mais il n'est pas toujours possible de mettre à jour son OS ! cela dépend du constructeur !

[Sylvaner]

Citation:

Envoyé par Paul TOTH

mais il n'est pas toujours possible de mettre à jour son OS ! cela dépend du constructeur !

Je pense que Google a la possibilité de faire un peu de forcing comme la fois où ils ont fait une suppression d'une application malveillante sur tous les téléphones à distance.
Mais oui, le manque de suivi de certains constructeurs ne peut pas arranger le problème Mais bon, c'est cool, c'est des white-hat

[kimimo]

J'ai l'impression que ce nouveau framework est assez semblable à metasploit mais spécialisé pour Android.

Pour ceux qui ne connaissent pas, metasploit fait la même chose pour le web et desktop (d'ailleurs c'est peut être un fork spécialisé, je ne suis pas allé voir).

Bref, je pense que théoriquement c'est très dangereux mais qu'en pratique il n'y a pas vraiment de risques...
En tous cas, l'avantage c'est que ça met l'accent sur la sécurité et c'est toujours bénéfique !

[MiaowZedong]

Le point noir de la sécurité sur Android restera toujours l'impossibilité de mettre à jour l'OS pour de nombreux utilisateurs.

À part ça, c'est comme le web "normal": il existe des antivirus pour Android, et il ne faut pas télécharger/cliquer tout ce qui semble beau et clignotant...

[Paul TOTH]

Citation:

Envoyé par Sylvaner

Je pense que Google a la possibilité de faire un peu de forcing comme la fois où ils ont fait une suppression d'une application malveillante sur tous les téléphones à distance.
Mais oui, le manque de suivi de certains constructeurs ne peut pas arranger le problème Mais bon, c'est cool, c'est des white-hat

ça c'est pas si simple

[Tristan Zwingelstein]

C'est le propre du libre de permettre à n'importe qui d'apporter des solutions innovantes et aussi d'être critique sur ces solutions. Pour moi cela ne reflète qu'une d'une critique constructive pour Google qui finira sans doute par embaucher ces deux experts talentueux ...

[Bktero]

C'est toujours dommage de devoir laisser l'enfant mettre sa main sur la plaque de cuisson chaude pour qu'il comprenne une bonne fois pour toute qu'il ne faut pas la toucher.

C'est bien de forcer Google à faire plus pour la sécurité de l'OS, mais il faut aussi que les constructeurs se bougent pour fournir des mises à jour, comme vous l'avez dit. Je possède un téléphone Samsung et les mises à jour sont inexistantes. Je l'ai eu en Décembre 2010, avec Android 2.1. Au bout de 7 ou 8 mois, j'ai eu droit à Android 2.2 et j'y suis toujours. J'ai branché récemment mon téléphone au logiciel Kies de Samsung, il ne m'a pas proposé de mise à jour. Cela se passe de commentaire...

[transgohan]

Mon smartphone a deux ans d'ancienneté en France (peut être plus à l'internationale) et il est toujours dans la même version d'Android qu'à la sortie usine car aucune maj n'est mise à disposition.
Google n'est pas le seul à devoir se bouger le cul, il faut que les constructeurs mettent à jour leur distribution ou bien qu'ils s'emmerdent pas à en faire... (car faut bien l'avouer c'est une fausse raison les drivers, ce qui les emmerdent en priorité ce serait de ne pouvoir mettre leur UI)

[SurferIX]

La seule chose qui m'interpelle dans tout ça, c'est le point de vue : c'est un peu comme si on disait "attention, on va sortir un couteau très coupant, des gens vont en profiter pour couper tout et n'importe quoi".

C'est juste un outil comme un autre, et, effectivement, il risque d'y avoir des abus, mais d'un autre côté, il y aura des grosses ouvertures qui vont aider le monde à progresser.

Moi, le couteau très coupant, je le vois plus comme un outil supplémentaire qu'une menace, mais chacun son point de vue...

[Médinoc]

En gros, ces types ont sorti "le kit du 'script kiddie' pour Android"?

[Dominique49]

@SurferIX
Et à ton avis qu'es-ce qu'on pourrait faire d'utile avec un outil pareil ? évidement on peu trouver quelques fins honnêtes, mais je n'en vois pas des masses ... Je crois surtout qu'il y aura beaucoup plus d'abus que d'utilisation correcte ...

[parou]

pour ma part oui c'est bien de donner un coup de pied à google pour sécurisé un peu plus les applications.

cependant le soucis ici c'est qu'il y a fort à parier que si google sort un upgrade nos 2 petits chercheur en feront de même. Et donc au final le seul but de sortir ce genre de soft est de donner les possibilitée de hacking au premier vennu ... c est triste

[BROWNY]

les éditeur de virus existe sur PC depuis longtemps...
Le problème ici c'est la non chalance de Google dans le soin apporté à la conception d'Android...
Les White Hat ont pour but de démontrer les erreurs et de forcer les concepteurs à les corriger (différents des black hat)

Il faut dire que les pirates y auront accès mais aussi Google, donc s'il veut tester ses futurs produits, il pourra aussi le faire plus facilement...

[Immobilis]

Salut,

A mon avis, c'est tout le modèle économique de Android qui est en cause. En déléguant la maintenance de son OS aux constructeurs Google a "négligé" un aspect important: les constructeurs ne sont pas des éditeurs et vice versa. Chacun son coeur de métier comme on dit. C'est un peu dommage que les acheteurs de ce type de smartphone n'aient pas été prévenus.

Est-ce que la gamme Nexus n'est pas mieux mise à jour?

Et est-ce que pour une fois Microsoft n'a pas trouvé la bonne combinaison? On peut critiquer les failles de Windows (et il y en a pas de doutes mais comme dans tous les OS) mais au moins les mises à jour sont faites sur tous les appareils.

Par ailleurs, MS se fait aussi un peu (beaucoup?) "menacer" par des découvreurs de failles: http://www.developpez.net/forums/d12...milliardaires/

A+

[transgohan]

Citation:

Envoyé par Immobilis

Et est-ce que pour une fois Microsoft n'a pas trouvé la bonne combinaison? On peut critiquer les failles de Windows (et il y en a pas de doutes mais comme dans tous les OS) mais au moins les mises à jour sont faites sur tous les appareils.

Je suis pas trop au courant des smartphones sous windows mais j'ai au moins un appareil dérogeant à la règle. Mon père a un samsung sous windows phone première version (6.0 ?) et n'a jamais eu aucune mise à jour de disponible. ^^

[Immobilis]

Citation:

Envoyé par transgohan

windows phone première version (6.0 ?) et n'a jamais eu aucune mise à jour de disponible. ^^

Windows Mobile? Ouh, il faut faire des recherches dans les archives de Wikipedia pour ça ^^.

A l'époque, il n'y avait pas de MarketPlace ni de virus ni d'Android! Pas besoin de mise à jour puisque du coup tout allait bien

[transgohan]

Citation:

Envoyé par Immobilis

Windows Mobile? Ouh, il faut faire des recherches dans les archives de Wikipedia pour ça ^^.

A l'époque, il n'y avait pas de MarketPlace ni de virus ni d'Android! Pas besoin de mise à jour puisque du coup tout allait bien

Non c'est une version windows Phone. Quand à faire des recherches j'ai tellement de sites qui sont bloqués par le proxy que j'ai pas eu l'idée d'en faire (pour dire même wikipedia est bloqué).

Quand à l'absence de virus sous windows mobile tu ferrai mieux de te renseigner.

[Immobilis]

Citation:

Envoyé par transgohan

Non c'est une version windows Phone

"Windows Phone" a commencé à 7.

Citation:

Envoyé par transgohan

pour dire même wikipedia est bloqué

Tu travailles en Chine?

Citation:

Envoyé par transgohan

Quand à l'absence de virus sous windows mobile tu ferrai mieux de te renseigner.

C'était une boutade. J'imagine bien qu'il devait y en avoir. Sans certitude, je dirai que cela devait être sans commune mesure avec ce qu'on rencontre actuellement. Le mobile de ton père a-t-il été infecté?

A+