+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    382
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 382
    Points : 12 345
    Points
    12 345

    Par défaut Android : Janus permet la modification du code d’une application sans affecter sa signature

    Android : Janus permet la modification du code d’une application sans affecter sa signature
    Lollipop à Oreo affectés

    Le bulletin de sécurité Android du mois de décembre, publié il y a bientôt une semaine, précise qu’un correctif à la vulnérabilité référencée CVE-2017-13156 est disponible. Baptisée Janus par les chercheurs de la firme de sécurité GuardSquare, elle permet la modification du code d’une application sans que la signature de cette dernière ne soit affectée.

    Le problème, d’après ce que rapportent les chercheurs, réside dans la façon dont les versions d’Android de Lollipop à Oreo gèrent les fichiers Android package (APK) et Dalvik EXEcutable (DEX). « Le mécanisme de signature JAR prend uniquement les entrées zip [au sein du fichier APK] en compte. Les octets additionnels sont ignorés au moment du calcul ou de la vérification de la signature d’application », expliquent les chercheurs. Cette disposition crée un danger permanent dans le processus de vérification de l’intégrité. Une fonctionnalité de la machine virtuelle Dalvik prévoit en effet qu’un fichier revête une nature duale APK/DEX. La modification de la section DEX en son sein passera inaperçue puisque n’étant en rien liée aux sections concernées.

    « Un cybercriminel peut remplacer une application système par une version modifiée pour abuser de ses permissions. En fonction de l’application cible, l’attaquant peut avoir accès à des informations sensibles stockées sur le dispositif ou pourquoi pas effectuer une prise en otage de ce dernier », écrivent les chercheurs à propos des éventuelles conséquences.

    Nom : APK DEX.jpg
Affichages : 3786
Taille : 27,2 Ko

    Inutile de rappeler que les correctifs dont il est fait mention au sein du bulletin de sécurité Android concernent les possesseurs de smartphones Nexus et Pixel uniquement. Les appareils mobiles Android d’autres marques sont laissés à la merci des lenteurs orchestrées par les nombreux intervenants de la chaîne de mise à jour. Pour rappel, Google a annoncé un changement de l’architecture de son système d’exploitation pour appareils mobiles au mois de mai. Android Oreo intègre cette nouveauté et, en principe, le processus de mise à jour de cette mouture s’affranchit de l’intervention absolue des fabricants de puces avant les autres maillons de la chaîne. L’initiative est louable, mais ses retombées sont semble-t-il insuffisantes à date.

    Les développeurs désireux d’éviter que leurs applications ne fassent mauvaise presse devront signer leurs applications avec la deuxième version du mécanisme mis à leur disposition. Enfin, les utilisateurs finals devront s’assurer que les applications installées sur leurs dispositifs proviennent du Play Store. D’après les recommandations de la firme de sécurité, ces dernières devraient être « saines ».

    Sources

    Bulletin de sécurité Android du mois de décembre 2017
    Billet GuardSquare

    Votre avis

    Quelle attitude adoptez-vous face à une vulnérabilité classée sévère par Google comme cette dernière ?
    Quelles ROM alternatives et communautés conseillez-vous pour bénéficier de mises à jour à une fréquence plus raisonnable ?

    Voir aussi

    Une faille dans Android permet à un attaquant d'enregistrer l'activité de l'écran et l'audio système, Lollipop, Marshmallow et Nougat concernés
    Une faille de sécurité menace des millions de smartphones Android, elle concerne les puces de Qualcomm et affecte les anciennes versions de l'OS
    Android : une faille permet de détourner l'installation d'applications légitimes en les remplaçant par des logiciels malveillants
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 344
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 344
    Points : 6 450
    Points
    6 450

    Par défaut

    Euh... C'est une signature inutile en gros si elle ne signe pas la totalité du binaire...
    Je ne comprends même pas qu'un développeur qui a des connaissances en sécurité ait pu coder cela.
    Ou alors on en revient encore au même problème, des développeurs qui ne sont pas formés ou qui bossent pour des domaines qu'ils ne connaissent pas.
    On ne le répétera jamais assez souvent, mais la sécurité c'est un métier à part entière, mais cela n'excuse pas le manque de culture générale en informatique.
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  3. #3
    ALT
    ALT est déconnecté
    Membre chevronné
    Avatar de ALT
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    octobre 2002
    Messages
    1 120
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 58
    Localisation : France, Vienne (Poitou Charente)

    Informations professionnelles :
    Activité : Assistant aux utilisateurs
    Secteur : Service public

    Informations forums :
    Inscription : octobre 2002
    Messages : 1 120
    Points : 1 849
    Points
    1 849

    Par défaut

    Oui, d'accord avec transgohan : je ne suis pas spécialiste de la sécurité informatique, loin de là, mais la technique utilisée paraît pour le moins moisie. Car si on peut modifier un fichier sans changer sa signature, alors à quoi sert-elle ?
    "Un peuple qui est prêt à sacrifier un peu de liberté contre un peu de sécurité, ne mérite ni l'une, ni l'autre, et finira par perdre les deux."
    Attribué indistinctement à :
    Thomas Jefferson
    Benjamin Franklin
    Albert Einstein !

Discussions similaires

  1. Réponses: 0
    Dernier message: 29/05/2017, 13h35
  2. Réponses: 4
    Dernier message: 24/10/2006, 03h24
  3. Réponses: 1
    Dernier message: 03/05/2006, 11h17
  4. [Couleur] Modification du code couleur de l'interface
    Par Therich dans le forum Eclipse Java
    Réponses: 3
    Dernier message: 31/01/2006, 21h00
  5. Modification de code
    Par HADES62 dans le forum Autres langages
    Réponses: 5
    Dernier message: 25/01/2006, 12h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo