IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Android Discussion :

Android : une faille permet de transformer les applications légitimes en chevaux de Troie


Sujet :

Android

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Android : une faille permet de transformer les applications légitimes en chevaux de Troie
    Android : une faille permet de transformer les applications légitimes en chevaux de Troie
    99 % de terminaux sous l’OS affectés

    Les chercheurs en sécurité du cabinet spécialisé dans la sécurité mobile BlueBox ont découvert une faille critique dans Android.

    Cette vulnérabilité touche les versions d’Android sorties ces quatre dernières années (depuis Android 1.6 – Donut), ce qui représente 99 % de smarphones sous l’OS mobile.

    Elle peut être exploitée par un pirate pour modifier le code d’un APK (package d’une application Android) légitime, sans casser sa signature cryptographique. Le pirate peut alors modifier n’importe quelle application légitime et la transformer en un cheval de Troie qui pourra être utilisé pour dérober les données d’un utilisateur (e-mail, SMS, documents, etc.), récupérer tous les mots de passe des services qui ont été stockés ou contrôler totalement son smartphone.

    La faille proviendrait des différences dans la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature.


    Bluebox prétend avoir informé Google sur l’exploit depuis février dernier, et que la firme aurait transféré l’information aux constructeurs. Mais à cause de la fragmentation de la plateforme et du retard des constructeurs dans la publication des mises à jour, un nombre important d’utilisateurs sont encore exposés.

    Les détails sur la faille seront présentés lors de la conférence sur la sécurité Black Hat de Las Vegas, qui aura lieu à la fin de ce mois.

    Bluebox conseille aux utilisateurs d’éviter les galeries d’applications non officielles et d’installer les applications uniquement à partir de Google Play, après avoir identifié l’éditeur.


    Source : Bluebox


    Et vous ?

    Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?

  2. #2
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2011
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Gard (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mars 2011
    Messages : 185
    Points : 719
    Points
    719
    Par défaut
    Hum, c'est bien bizard qu'elle soit découverte que maintenant. Certain téléphone ne reçoit aucune maj depuis longtemps, ils ont du coup l'obligation de faire attention. Pour ma part, je pense que les constructeur onleur faute. Ils font tous la course au mobile les plus performants en oubliant les anciens modèle qui sont loin d'être obsolette. Sachant que sa concerne énormément de mobile, ils ont trop de pain sur la planche, et je pense guère que tous auront la maj...
    Et si on est déjà infectée, comment éradique le cheval?

  3. #3
    Membre éclairé
    Profil pro
    C Embarqué / C++ Qt
    Inscrit en
    Janvier 2010
    Messages
    231
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : C Embarqué / C++ Qt

    Informations forums :
    Inscription : Janvier 2010
    Messages : 231
    Points : 650
    Points
    650
    Par défaut
    Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?
    Bof... Tant que le serveur "repository" n'est pas piraté la faille est bof, l'utilisateur qui n'utilise pas le google play est bof aussi, tout est bof

    La réactivité n'est pas horrible, au vue de ce qu'il faut faire pour exploiter la faille ^^ non ?

  4. #4
    Membre régulier
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    44
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 44
    Points : 73
    Points
    73
    Par défaut
    <troll>
    C'est pas une faille, c'est la backdoor pour la NSA...
    </troll>

  5. #5
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 387
    Points
    9 387
    Par défaut
    J'ai lu le billet mais je cherche toujours à partir de quelle version d'Android ce défaut est corrigé...
    Pourtant on croit lire que Google a averti les constructeurs en leur demandant de réagir pour mettre à disposition la mise à jour.
    Mais quelle est cette mise à jour fantôme ?

    @lochnar : Merci tu as fait ma journée !

  6. #6
    Membre du Club
    Homme Profil pro
    Utilisateur
    Inscrit en
    Avril 2012
    Messages
    29
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Utilisateur

    Informations forums :
    Inscription : Avril 2012
    Messages : 29
    Points : 42
    Points
    42
    Par défaut
    C'est Android le cheval de troie, pas besoin d'application, il suffit de lire les conditions de Google

  7. #7
    Membre actif
    Profil pro
    Inscrit en
    Août 2007
    Messages
    136
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2007
    Messages : 136
    Points : 247
    Points
    247
    Par défaut
    Il existe énormément d'applications Android qui demandent des autorisations sans rapport avec les besoins de ces mêmes applications et très peu d'utilitaires permettant de surveiller ce que font réellement ces applications.
    Si je me souviens bien google se réserve aussi le droit de récupérer toute les informations contenues dans le mobile (je suis sûr d'avoir lu ça quelque part, à vérifier néanmoins).
    En gros en utilisant un mobile Android on est de toute façon sur écoute en permanence.
    Je me trompe?

  8. #8
    Expert éminent

    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Février 2007
    Messages
    4 253
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Février 2007
    Messages : 4 253
    Points : 7 618
    Points
    7 618
    Billets dans le blog
    3
    Par défaut
    Non... tu ne te trompe pas.... sauf que tu peux enlever "Android":

    "En gros en utilisant un mobile on est de toute façon sur écoute en permanence."

    La question n'est pas là...
    On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.

    C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....

  9. #9
    Membre actif
    Profil pro
    Inscrit en
    Août 2007
    Messages
    136
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2007
    Messages : 136
    Points : 247
    Points
    247
    Par défaut
    Citation Envoyé par nicroman Voir le message
    On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.
    C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....
    Effectivement ce n'est pas clair, si google-play fait bien son travail et que les utilisateurs ne reçoivent les mises à jour qu'à partir des serveurs googles la "faille" ne devrait pas être exploitable.
    De mon côté je me demande à chaque fois que j'installe une appli Android si je ne suis pas en train d'installer un cheval de Troie tellement les autorisations à donner me semblent exagérées.

  10. #10
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut
    Android : Google publie un correctif pour la vulnérabilité
    touchant 99 % des smartphones sous l’OS

    Mise à jour du 09/07/13

    Google vient de publier un correctif d’urgence pour la faille de sécurité dévoilée la semaine dernière dans Android.

    Présentée par le cabinet de sécurité Bluebox, cette faille touche près de 99 % de smartphones sous l’OS mobile de Google.

    La vulnérabilité se situe au niveau de la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature. Les pirates peuvent donc l’exploiter pour transformer des applications officielles en Cheval de Troie pour dérober les données des utilisateurs ou contrôler leur terminal.




    Le correctif mis au point par Google a été transmis aux constructeurs d’appareils, selon ZDNet.com, qui devront le répercuter sur les smartphones des consommateurs.

    Certains constructeurs comme Samsung ont déjà commencé avec le déploiement de la mise à jour sur les périphériques Android, d’après le responsable de la communication chez Google, qui a expliqué qu’aucune preuve d’exploitation dans Google Play ou autres galeries d’applications n’a été découverte par ses outils d’analyse de sécurité.

    Et vous ?

    Avez-vous déjà reçu la mise à jour ?

  11. #11
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2007
    Messages
    906
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Septembre 2007
    Messages : 906
    Points : 2 134
    Points
    2 134
    Par défaut
    Bon courage à ceux qui fonctionne avec une ROM opérateur, sont pas prêt d'avoir la mise à jour.

  12. #12
    Membre expert

    Développeur NTIC
    Inscrit en
    Janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 34

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : Janvier 2011
    Messages : 1 670
    Points : 3 942
    Points
    3 942
    Par défaut
    Avez-vous déjà reçu la mise à jour ?
    Non, mais je sens que je vais l'appliquer moi même en passant sur Paranoid.

  13. #13
    Nouveau membre du Club
    Inscrit en
    Août 2006
    Messages
    46
    Détails du profil
    Informations forums :
    Inscription : Août 2006
    Messages : 46
    Points : 25
    Points
    25
    Par défaut
    Si je comprends bien la chose, cela ne change rien pour ceux qui autorisent déjà les archives apk ne provenant pas du Google Play sur leur téléphone.

    Donc n'ayez pas peur. Après la mise à jour, vous pourrez toujours être infecté si vous choisissez d'installer n'importe quoi sur votre téléphone.

  14. #14
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 470
    Points
    1 470
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Avez-vous déjà reçu la mise à jour ?
    Non, et il est même quasiment certain que je ne l'aurai pas non plus avec la prochaine mise à jour HTC qui est censée arriver sous peu... (pour HTC one)

    D'ici la fin de l'année, je dirai au pif que moins de 10% des mobiles android auront ce patch...

    Il faut absolument obliger les constructeurs à faire ces mise à jour de sécurité... L'Europe devrait faire quelque chose...

  15. #15
    Membre expert

    Développeur NTIC
    Inscrit en
    Janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 34

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : Janvier 2011
    Messages : 1 670
    Points : 3 942
    Points
    3 942
    Par défaut
    Citation Envoyé par YoyoS Voir le message
    Si je comprends bien la chose, cela ne change rien pour ceux qui autorisent déjà les archives apk ne provenant pas du Google Play sur leur téléphone.

    Donc n'ayez pas peur. Après la mise à jour, vous pourrez toujours être infecté si vous choisissez d'installer n'importe quoi sur votre téléphone.
    Sachant que 90% des utilisateurs ne connaissent ni cette option et ne sait pas ce qu'est une apk on peut en déduire que les 10% restant sont des utilisateurs avertis qui n'installeront pas n'importe quoi non plus. (chiffres sortis de mon chapeau magique).

  16. #16
    Membre averti Avatar de demenvil
    Homme Profil pro
    Analyste développeur
    Inscrit en
    Avril 2009
    Messages
    195
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Analyste développeur
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2009
    Messages : 195
    Points : 389
    Points
    389
    Par défaut
    [..]cette faille touche près de 99 % de smartphones sous l’OS mobile de Google [..]
    Bim la poutre que viens de manger Google là ! ^^

  17. #17
    Candidat au Club
    Homme Profil pro
    Consultant fonctionnel
    Inscrit en
    Mars 2012
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant fonctionnel
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2012
    Messages : 8
    Points : 4
    Points
    4
    Par défaut
    Le correctif mis au point par Google a été transmis aux constructeurs d’appareils[...]
    Le patch sera intégré dans la version 4.3 d'Android pour les Nexus ?
    Ou vont-ils appliquer le correctif dans une mise à jour dédiée ?

  18. #18
    Membre du Club
    Homme Profil pro
    Expert sécurité informatique
    Inscrit en
    Mai 2011
    Messages
    21
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expert sécurité informatique

    Informations forums :
    Inscription : Mai 2011
    Messages : 21
    Points : 52
    Points
    52
    Par défaut
    Cet article est intéressant, mais il manque une information essentielle :

    Comment vérifier si on a bien le correctif ?

    Quelles versions d'Android sont corrigées ?

    Citation Envoyé par Hinault Romaric Voir le message
    Et vous ?
    Avez-vous déjà reçu la mise à jour ?
    Et bien je dois dire que je n'en sais fichtre rien !

    C'est bien ça qui m'inquiète, j'ai lu des informations contradictoires à droite et à gauche. Selon certaines sources j'ai déjà le correctif depuis quelques mois, et selon d'autre, je pense que je n'ai pas encore le correctif.

    Pour info, j'ai un Nexus 4, avec Android 4.2.2, j'ai vérifié les mises à jours il y a quelques minutes et Google me dit que je suis à jour.

    J'ai aussi un (vieux) Samsung Galaxy S sous Gingerbread, et je suis à peu près sûr qu'il n'est pas à jour. Je voudrais bien savoir si il existe un moyen de le mettre à jour sans passer pas une ré-installation complète de ROM non-officielle.

  19. #19
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut
    Android : publication d’un exploit pour la faille touchant 99 % de terminaux
    les constructeurs doivent se dépêcher pour déployer le correctif de Google

    Google a publié hier aux constructeurs d’appareils un correctif pour une faille de sécurité touchant 99 % de smartphones sous l’OS mobile Android.

    La faille peut être exploitée pour transformer des applications officielles en Cheval de Troie pour dérober les données des utilisateurs ou contrôler leur terminal.

    Au vu de la lenteur des constructeurs pour déployer les mises à jour d’Android, il est peu probable que les utilisateurs reçoivent rapidement ce correctif.

    Ceux-ci pouvaient néanmoins se réconforter du fait que la faille ne soit pas activement exploitée, car Google a déclaré qu’il n’avait découvert aucune preuve d’exploitation sur Google Play.




    Symantec pour sa part, note qu’après l’analyse de quatre millions d’applications avec sa solution Norton Mobile Insight, aucune utilisation de façon malveillante de la faille n’a été découverte. Ce qui risque cependant de changer dans les jours à venir.

    Un chercheur en sécurité a mis au point et publié sur GitHub une preuve de réalisation (proof of concept) qui permet de faire passer une application pour une autre.

    Le code de l’exploit utilise l’outil « apktool » pour briser un fichier « APK » en fichiers lisibles que l’utilisateur peut modifier au besoin. Il crée ensuite un nouveau fichier APK avec le contenu de l’APK d’origine et les modifications apportées par l’utilisateur.

    Un pirate pourrait donc récupérer une application légitime, exploiter ce PoC pour modifier l’application afin d’introduire un code malveillant et la régénérer sans toutefois briser sa signature de vérification.

    Plus qu’à espérer que les constructeurs vont procéder rapidement au déploiement de la mise à jour auprès des utilisateurs.

    Le code de l'exploit sur GitHub

    Source : Description de l'exploit, Symantec

  20. #20
    Expert éminent

    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Février 2007
    Messages
    4 253
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Février 2007
    Messages : 4 253
    Points : 7 618
    Points
    7 618
    Billets dans le blog
    3
    Par défaut
    Oui... enfin il faut encore l'uploader sur le serveur google-play... Avec le même "package-name", donc avoir accès au compte du créateur originel et/ou accès dérobé aux serveurs google ....

    Cela fait quand même beaucoup d'exploits pour utiliser une "faille" de l'apktools.


    Après, il y a toujours les "unchecked" repositories, mais là, c'est de base très dangereux d'y chopper une appli. Donc cela ne change rien !

Discussions similaires

  1. Réponses: 2
    Dernier message: 26/03/2015, 10h50
  2. Réponses: 3
    Dernier message: 18/03/2015, 13h45
  3. Réponses: 6
    Dernier message: 01/06/2014, 09h30
  4. Réponses: 1
    Dernier message: 07/02/2010, 15h23
  5. Réponses: 0
    Dernier message: 01/10/2009, 00h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo