IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Android Discussion :

Android : une faille permet de transformer les applications légitimes en chevaux de Troie


Sujet :

Android

  1. #21
    Nouveau membre du Club
    Inscrit en
    août 2006
    Messages
    46
    Détails du profil
    Informations forums :
    Inscription : août 2006
    Messages : 46
    Points : 25
    Points
    25
    Par défaut
    Et oui, 99% des téléphones touchés mais 1% peuvent s'en inquiéter réellement...

  2. #22
    Membre du Club
    Homme Profil pro
    Expert sécurité informatique
    Inscrit en
    mai 2011
    Messages
    21
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expert sécurité informatique

    Informations forums :
    Inscription : mai 2011
    Messages : 21
    Points : 52
    Points
    52
    Par défaut
    Citation Envoyé par MRick Voir le message
    Comment vérifier si on a bien le correctif ?
    J'ai enfin trouver un moyen de vérifier si on a le correctif.

    C'est BlueBox qui propose une appli pour vérifier si votre mobile est patché ou non :

    http://bluebox.com/corporate-blog/fr...vulnerability/

    Bon ils en en profitent pour faire leur petite pub, mais c'est de bonne guerre.

    Par contre, j'ai choisi un Nexus justement pour être sur de ne pas avoir d'intermédiaire et avoir les mises à jours plus rapidement, mais je n'ai toujours pas le correctif. La mise à jour du système me dit que mon smartphone est à jour !

  3. #23
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 325
    Points
    252 325
    Billets dans le blog
    117
    Par défaut
    Android : face à la lenteur des constructeurs, des chercheurs publient ReKey
    une application qui corrige la vulnérabilité touchant 99 % de smartphones

    Le cabinet de sécurité Bluebox avait annoncé il y a quelques semaines la découverte d’une faille de sécurité critique dans Android, touchant toutes les versions de l’OS sorties ces quatre dernières années (depuis Android 1.6 jusqu’à la version actuelle).

    La faille qui touche près de 99 % des terminaux sous l’OS mobile de Google peut être exploitée par des pirates pour transformer une application légitime en un cheval de Troie pour dérober les données ou contrôler le terminal, sans briser la signature de l’application.




    La vulnérabilité se situe au niveau de la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature. Google a aussitôt mis à la disposition des constructeurs un correctif de sécurité pour la faille, dont le code d’un exploit a déjà été librement publié par un expert en sécurité.

    Pourtant, les constructeurs tardent toujours dans la publication de la mise à jour aux consommateurs. Heureusement, les cabinets Duo Security et System Security Lab de la Northeastern University (NEU SecLab) ont mis au point une solution qui comble cette fissure dans Android.

    « La sécurité des appareils Android dans le monde entier est paralysée par la lenteur des constructeurs et des opérateurs dans le déploiement des mises à jour », regrette Jon Oberheide, PDG de Duo Security.

    L’application baptisée ReKey, injecte un bout de code dans la machine virtuelle Dalvik d’Android, pour corriger dynamiquement les classes ZipEntry et ZipFile afin de combler la faille. L’application nécessite cependant des privilèges assez élevés, et doit être installée en superutilisateur.

    « ReKey est le dernier de nos projets de recherche visant à faire d’Internet un endroit sûr », explique Collin Mulliner, un chercheur de NEU SecLab. « Nous espérons que ReKey fournira un outil pratique pour protéger les utilisateurs. »

    L’application est disponible sur Google Play.

    Télécharger Rekey


    Source : Duo Security


    Et vous ?

    Avez-vous déjà reçu une mise à jour pour cette faille ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  4. #24
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 365
    Points
    9 365
    Par défaut
    Je vais peut être dire une bêtise mais je vois mal comment on peut avoir des privilèges super-utilisateurs avec une ROM constructeur (ou pire opérateur)...

    Quelqu'un pour un éclaircissement ?

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  5. #25
    Membre confirmé Avatar de getz85
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2008
    Messages
    423
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : janvier 2008
    Messages : 423
    Points : 460
    Points
    460
    Par défaut
    Citation Envoyé par transgohan Voir le message
    Je vais peut être dire une bêtise mais je vois mal comment on peut avoir des privilèges super-utilisateurs avec une ROM constructeur (ou pire opérateur)...

    Quelqu'un pour un éclaircissement ?
    J'ai les droits super-utilisateurs, et j'ai gardé la ROM constructeur. Il suffit juste de rooter le téléphone, il y a énormément de tutos selon le téléphone pour faire ça. Rooter ton téléphone ne t'oblige pas à installer une ROM custom.

  6. #26
    Expert éminent

    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    février 2007
    Messages
    4 253
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : février 2007
    Messages : 4 253
    Points : 7 618
    Points
    7 618
    Billets dans le blog
    3
    Par défaut
    Il y a aussi un autre moyen de ne pas être touché.... ne pas télécharger d'appli sur des app-store non vérifiés...

    Pas besoin de root, pas besoin d'installer une appli en mode système....


    Quant à "ROOTER" son téléphone il consiste juste à remplacer le kernel pour lui donner la commande "su" (en général SuperSU)... Cette opération est décrite en détail pour toutes les ROMs constructeurs (hélas, pas les ROMs opérateurs).
    N'oubliez pas de cliquer sur mais aussi sur si un commentaire vous a été utile !
    Et surtout

Discussions similaires

  1. Réponses: 2
    Dernier message: 26/03/2015, 10h50
  2. Réponses: 3
    Dernier message: 18/03/2015, 13h45
  3. Réponses: 6
    Dernier message: 01/06/2014, 09h30
  4. Réponses: 1
    Dernier message: 07/02/2010, 15h23
  5. Réponses: 0
    Dernier message: 01/10/2009, 00h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo