+ Répondre à la discussion Actualité déjà publiée
Page 1 sur 2 12 DernièreDernière
Affichage des résultats 1 à 20 sur 26
  1. #1
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 016
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 016
    Points : 59 929
    Points
    59 929

    Par défaut Android : une faille permet de transformer les applications légitimes en chevaux de Troie

    Android : une faille permet de transformer les applications légitimes en chevaux de Troie
    99 % de terminaux sous l’OS affectés

    Les chercheurs en sécurité du cabinet spécialisé dans la sécurité mobile BlueBox ont découvert une faille critique dans Android.

    Cette vulnérabilité touche les versions d’Android sorties ces quatre dernières années (depuis Android 1.6 – Donut), ce qui représente 99 % de smarphones sous l’OS mobile.

    Elle peut être exploitée par un pirate pour modifier le code d’un APK (package d’une application Android) légitime, sans casser sa signature cryptographique. Le pirate peut alors modifier n’importe quelle application légitime et la transformer en un cheval de Troie qui pourra être utilisé pour dérober les données d’un utilisateur (e-mail, SMS, documents, etc.), récupérer tous les mots de passe des services qui ont été stockés ou contrôler totalement son smartphone.

    La faille proviendrait des différences dans la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature.


    Bluebox prétend avoir informé Google sur l’exploit depuis février dernier, et que la firme aurait transféré l’information aux constructeurs. Mais à cause de la fragmentation de la plateforme et du retard des constructeurs dans la publication des mises à jour, un nombre important d’utilisateurs sont encore exposés.

    Les détails sur la faille seront présentés lors de la conférence sur la sécurité Black Hat de Las Vegas, qui aura lieu à la fin de ce mois.

    Bluebox conseille aux utilisateurs d’éviter les galeries d’applications non officielles et d’installer les applications uniquement à partir de Google Play, après avoir identifié l’éditeur.


    Source : Bluebox


    Et vous ?

    Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre à l'essai
    Homme Profil pro
    Webmaster
    Inscrit en
    mars 2011
    Messages
    19
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gard (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Webmaster

    Informations forums :
    Inscription : mars 2011
    Messages : 19
    Points : 22
    Points
    22

    Par défaut

    Hum, c'est bien bizard qu'elle soit découverte que maintenant. Certain téléphone ne reçoit aucune maj depuis longtemps, ils ont du coup l'obligation de faire attention. Pour ma part, je pense que les constructeur onleur faute. Ils font tous la course au mobile les plus performants en oubliant les anciens modèle qui sont loin d'être obsolette. Sachant que sa concerne énormément de mobile, ils ont trop de pain sur la planche, et je pense guère que tous auront la maj...
    Et si on est déjà infectée, comment éradique le cheval?

  3. #3
    Membre éclairé
    C Embarqué / C++ Qt
    Inscrit en
    janvier 2010
    Messages
    176
    Détails du profil
    Informations professionnelles :
    Activité : C Embarqué / C++ Qt

    Informations forums :
    Inscription : janvier 2010
    Messages : 176
    Points : 388
    Points
    388

    Par défaut

    Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?
    Bof... Tant que le serveur "repository" n'est pas piraté la faille est bof, l'utilisateur qui n'utilise pas le google play est bof aussi, tout est bof

    La réactivité n'est pas horrible, au vue de ce qu'il faut faire pour exploiter la faille ^^ non ?

  4. #4
    Membre du Club
    Inscrit en
    mai 2006
    Messages
    44
    Détails du profil
    Informations forums :
    Inscription : mai 2006
    Messages : 44
    Points : 49
    Points
    49

    Par défaut

    <troll>
    C'est pas une faille, c'est la backdoor pour la NSA...
    </troll>

  5. #5
    Expert Confirmé Sénior
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    1 769
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 769
    Points : 4 806
    Points
    4 806

    Par défaut

    J'ai lu le billet mais je cherche toujours à partir de quelle version d'Android ce défaut est corrigé...
    Pourtant on croit lire que Google a averti les constructeurs en leur demandant de réagir pour mettre à disposition la mise à jour.
    Mais quelle est cette mise à jour fantôme ?

    @lochnar : Merci tu as fait ma journée !
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  6. #6
    Nouveau Membre du Club
    Homme Profil pro
    Utilisateur
    Inscrit en
    avril 2012
    Messages
    25
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Utilisateur

    Informations forums :
    Inscription : avril 2012
    Messages : 25
    Points : 31
    Points
    31

    Par défaut

    C'est Android le cheval de troie, pas besoin d'application, il suffit de lire les conditions de Google

  7. #7
    Nouveau Membre du Club
    Inscrit en
    août 2007
    Messages
    53
    Détails du profil
    Informations forums :
    Inscription : août 2007
    Messages : 53
    Points : 35
    Points
    35

    Par défaut

    Il existe énormément d'applications Android qui demandent des autorisations sans rapport avec les besoins de ces mêmes applications et très peu d'utilitaires permettant de surveiller ce que font réellement ces applications.
    Si je me souviens bien google se réserve aussi le droit de récupérer toute les informations contenues dans le mobile (je suis sûr d'avoir lu ça quelque part, à vérifier néanmoins).
    En gros en utilisant un mobile Android on est de toute façon sur écoute en permanence.
    Je me trompe?

  8. #8
    Modérateur

    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    février 2007
    Messages
    3 737
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : février 2007
    Messages : 3 737
    Points : 6 529
    Points
    6 529

    Par défaut

    Non... tu ne te trompe pas.... sauf que tu peux enlever "Android":

    "En gros en utilisant un mobile on est de toute façon sur écoute en permanence."

    La question n'est pas là...
    On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.

    C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....
    N'oubliez pas de cliquer sur mais aussi sur si un commentaire vous a été utile !
    Et surtout

  9. #9
    Nouveau Membre du Club
    Inscrit en
    août 2007
    Messages
    53
    Détails du profil
    Informations forums :
    Inscription : août 2007
    Messages : 53
    Points : 35
    Points
    35

    Par défaut

    Citation Envoyé par nicroman Voir le message
    On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.
    C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....
    Effectivement ce n'est pas clair, si google-play fait bien son travail et que les utilisateurs ne reçoivent les mises à jour qu'à partir des serveurs googles la "faille" ne devrait pas être exploitable.
    De mon côté je me demande à chaque fois que j'installe une appli Android si je ne suis pas en train d'installer un cheval de Troie tellement les autorisations à donner me semblent exagérées.

  10. #10
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 016
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 016
    Points : 59 929
    Points
    59 929

    Par défaut

    Android : Google publie un correctif pour la vulnérabilité
    touchant 99 % des smartphones sous l’OS

    Mise à jour du 09/07/13

    Google vient de publier un correctif d’urgence pour la faille de sécurité dévoilée la semaine dernière dans Android.

    Présentée par le cabinet de sécurité Bluebox, cette faille touche près de 99 % de smartphones sous l’OS mobile de Google.

    La vulnérabilité se situe au niveau de la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature. Les pirates peuvent donc l’exploiter pour transformer des applications officielles en Cheval de Troie pour dérober les données des utilisateurs ou contrôler leur terminal.




    Le correctif mis au point par Google a été transmis aux constructeurs d’appareils, selon ZDNet.com, qui devront le répercuter sur les smartphones des consommateurs.

    Certains constructeurs comme Samsung ont déjà commencé avec le déploiement de la mise à jour sur les périphériques Android, d’après le responsable de la communication chez Google, qui a expliqué qu’aucune preuve d’exploitation dans Google Play ou autres galeries d’applications n’a été découverte par ses outils d’analyse de sécurité.

    Et vous ?

    Avez-vous déjà reçu la mise à jour ?
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  11. #11
    Membre Expert Avatar de nirgal76
    Inscrit en
    septembre 2007
    Messages
    623
    Détails du profil
    Informations forums :
    Inscription : septembre 2007
    Messages : 623
    Points : 1 114
    Points
    1 114

    Par défaut

    Bon courage à ceux qui fonctionne avec une ROM opérateur, sont pas prêt d'avoir la mise à jour.

  12. #12
    Expert Confirmé

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 682
    Détails du profil
    Informations personnelles :
    Âge : 24

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 682
    Points : 3 795
    Points
    3 795

    Par défaut

    Avez-vous déjà reçu la mise à jour ?
    Non, mais je sens que je vais l'appliquer moi même en passant sur Paranoid.
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  13. #13
    Candidat au titre de Membre du Club
    Inscrit en
    août 2006
    Messages
    43
    Détails du profil
    Informations forums :
    Inscription : août 2006
    Messages : 43
    Points : 11
    Points
    11

    Par défaut

    Si je comprends bien la chose, cela ne change rien pour ceux qui autorisent déjà les archives apk ne provenant pas du Google Play sur leur téléphone.

    Donc n'ayez pas peur. Après la mise à jour, vous pourrez toujours être infecté si vous choisissez d'installer n'importe quoi sur votre téléphone.

  14. #14
    Membre Expert
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2009
    Messages
    390
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 390
    Points : 1 267
    Points
    1 267

    Par défaut

    Citation Envoyé par Hinault Romaric Voir le message
    Avez-vous déjà reçu la mise à jour ?
    Non, et il est même quasiment certain que je ne l'aurai pas non plus avec la prochaine mise à jour HTC qui est censée arriver sous peu... (pour HTC one)

    D'ici la fin de l'année, je dirai au pif que moins de 10% des mobiles android auront ce patch...

    Il faut absolument obliger les constructeurs à faire ces mise à jour de sécurité... L'Europe devrait faire quelque chose...

  15. #15
    Expert Confirmé

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 682
    Détails du profil
    Informations personnelles :
    Âge : 24

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 682
    Points : 3 795
    Points
    3 795

    Par défaut

    Citation Envoyé par YoyoS Voir le message
    Si je comprends bien la chose, cela ne change rien pour ceux qui autorisent déjà les archives apk ne provenant pas du Google Play sur leur téléphone.

    Donc n'ayez pas peur. Après la mise à jour, vous pourrez toujours être infecté si vous choisissez d'installer n'importe quoi sur votre téléphone.
    Sachant que 90% des utilisateurs ne connaissent ni cette option et ne sait pas ce qu'est une apk on peut en déduire que les 10% restant sont des utilisateurs avertis qui n'installeront pas n'importe quoi non plus. (chiffres sortis de mon chapeau magique).
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  16. #16
    Membre éclairé Avatar de demenvil
    Homme Profil pro
    Planet-Cards - PrintPasCher.com
    Inscrit en
    avril 2009
    Messages
    158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Planet-Cards - PrintPasCher.com
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2009
    Messages : 158
    Points : 321
    Points
    321

    Par défaut

    [..]cette faille touche près de 99 % de smartphones sous l’OS mobile de Google [..]
    Bim la poutre que viens de manger Google là ! ^^

  17. #17
    Invité de passage
    Homme Profil pro
    Développeur .NET
    Inscrit en
    mars 2012
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Industrie

    Informations forums :
    Inscription : mars 2012
    Messages : 6
    Points : 0
    Points
    0

    Par défaut

    Le correctif mis au point par Google a été transmis aux constructeurs d’appareils[...]
    Le patch sera intégré dans la version 4.3 d'Android pour les Nexus ?
    Ou vont-ils appliquer le correctif dans une mise à jour dédiée ?

  18. #18
    Membre du Club
    Homme Profil pro
    Expert sécurité informatique
    Inscrit en
    mai 2011
    Messages
    19
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expert sécurité informatique

    Informations forums :
    Inscription : mai 2011
    Messages : 19
    Points : 48
    Points
    48

    Par défaut

    Cet article est intéressant, mais il manque une information essentielle :

    Comment vérifier si on a bien le correctif ?

    Quelles versions d'Android sont corrigées ?

    Citation Envoyé par Hinault Romaric Voir le message
    Et vous ?
    Avez-vous déjà reçu la mise à jour ?
    Et bien je dois dire que je n'en sais fichtre rien !

    C'est bien ça qui m'inquiète, j'ai lu des informations contradictoires à droite et à gauche. Selon certaines sources j'ai déjà le correctif depuis quelques mois, et selon d'autre, je pense que je n'ai pas encore le correctif.

    Pour info, j'ai un Nexus 4, avec Android 4.2.2, j'ai vérifié les mises à jours il y a quelques minutes et Google me dit que je suis à jour.

    J'ai aussi un (vieux) Samsung Galaxy S sous Gingerbread, et je suis à peu près sûr qu'il n'est pas à jour. Je voudrais bien savoir si il existe un moyen de le mettre à jour sans passer pas une ré-installation complète de ROM non-officielle.

  19. #19
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 016
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 016
    Points : 59 929
    Points
    59 929

    Par défaut

    Android : publication d’un exploit pour la faille touchant 99 % de terminaux
    les constructeurs doivent se dépêcher pour déployer le correctif de Google

    Google a publié hier aux constructeurs d’appareils un correctif pour une faille de sécurité touchant 99 % de smartphones sous l’OS mobile Android.

    La faille peut être exploitée pour transformer des applications officielles en Cheval de Troie pour dérober les données des utilisateurs ou contrôler leur terminal.

    Au vu de la lenteur des constructeurs pour déployer les mises à jour d’Android, il est peu probable que les utilisateurs reçoivent rapidement ce correctif.

    Ceux-ci pouvaient néanmoins se réconforter du fait que la faille ne soit pas activement exploitée, car Google a déclaré qu’il n’avait découvert aucune preuve d’exploitation sur Google Play.




    Symantec pour sa part, note qu’après l’analyse de quatre millions d’applications avec sa solution Norton Mobile Insight, aucune utilisation de façon malveillante de la faille n’a été découverte. Ce qui risque cependant de changer dans les jours à venir.

    Un chercheur en sécurité a mis au point et publié sur GitHub une preuve de réalisation (proof of concept) qui permet de faire passer une application pour une autre.

    Le code de l’exploit utilise l’outil « apktool » pour briser un fichier « APK » en fichiers lisibles que l’utilisateur peut modifier au besoin. Il crée ensuite un nouveau fichier APK avec le contenu de l’APK d’origine et les modifications apportées par l’utilisateur.

    Un pirate pourrait donc récupérer une application légitime, exploiter ce PoC pour modifier l’application afin d’introduire un code malveillant et la régénérer sans toutefois briser sa signature de vérification.

    Plus qu’à espérer que les constructeurs vont procéder rapidement au déploiement de la mise à jour auprès des utilisateurs.

    Le code de l'exploit sur GitHub

    Source : Description de l'exploit, Symantec
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  20. #20
    Modérateur

    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    février 2007
    Messages
    3 737
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : février 2007
    Messages : 3 737
    Points : 6 529
    Points
    6 529

    Par défaut

    Oui... enfin il faut encore l'uploader sur le serveur google-play... Avec le même "package-name", donc avoir accès au compte du créateur originel et/ou accès dérobé aux serveurs google ....

    Cela fait quand même beaucoup d'exploits pour utiliser une "faille" de l'apktools.


    Après, il y a toujours les "unchecked" repositories, mais là, c'est de base très dangereux d'y chopper une appli. Donc cela ne change rien !
    N'oubliez pas de cliquer sur mais aussi sur si un commentaire vous a été utile !
    Et surtout

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •