Discussion :

[Idelways]

La sécurité d'Android remise en question
Au BlackHat 2010 à cause de failles de Linux non-patchés et du système de permission


Réputé pour être « impiratable » , le système Android serait tout sauf inattaquable. C'est en tout cas la conclusion des présentations de quelque chercheurs-orateurs durant la conférence Black Hat 2010.

Dans une première présentation, le CEO de Lookout, John Gerring parle de l'application des fonds d'écrans « Jackeey Wallpaper », qui a été téléchargé des millions de fois et qui peut rassembler et transmettre à un site web en Chine des mots de passes, des historiques de navigation, l'identifiant de l'abonné, le numéro de la carte SIM et les SMS.

Les chercheurs de Lookout (spécialiste de la sécurité pour mobiles) auraient même trouvé le moyen d'utiliser cette application pour prendre le contrôle total du mobile.

Le contrôle total du mobile peut être obtenu en exploitant des failles non patchées de Linux, sur lequel s'appuie Android, qui permettraient d'avoir un accès Root.

C'est le cas également de la faille : CVE-2009 1185, connue et patchée depuis plus d'un an, mais dont les opérateurs ne semblent pas se presser à appliquer le correctif. Cette failleaurait déjà été exploitée avec succès sur des téléphones HTC, le Droid (et Droid X), le G1 et le Hero.

Dans une seconde conférence, Anthony Lineberry, un chercheur à Lookout estime que la sécurité du système Android est exagérée. Mais l'obtention de l'accès root n'est pas le seul moyen d'attaquer l'OS mobile.

Les applications Android demandent des permissions d'accès à certaines ressources du téléphone. Les développeurs listent les permissions requises par leurs applications, liste que le client doit valider s'il désire utiliser l'application.

Si une applications qui trient les SMS et demande un accès Internet peut paraitre suspecte, d'autres permissions peuvent sembler inoffensives, comme "Importer les Log d'Android". Or les logs peuvent révéler des informations confidentielles qui pourront être envoyées en arrière-plan ou en affichant des pages web d'apparence inoffensives, a en substance expliqué Tim Wyatt.

Pour mémoire, la société Lookout a réalisé une étude appelée « Projet App Genome », qui examine les applications iPhone et Android en fonction des permissions requises et des risques qui peuvent en résulter.

Une autre facette du problème est qu'Android autorise les applications à utiliser les ressources d'autres applications. Une application sans accès à internet peut par exemple y accéder à travers une autre qui a, elle, accès au web.

Bref si Android a bel bien résisté au dernier Pwn2Own, ce concours très relevé où des Grey Hats essayent de pénétrer les systèmes et les navigateurs, il n'en resterait pas moins un OS vulnérable comme les autres.

Ni plus, ni moins.


Source : Site de BlackHat 2010 et le billet de Lookout sur le Projet App Genome

Lire aussi :

Android : nouveau système pour lutter contre le piratage des applications payantes, elles devront se connecter aux serveurs de Google

« Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur » répond Google, après l'étude sur Android Market

Les rubriques (actu, forums, tutos) de Développez :

Android
Sécurité
Mobile
Systèmes



Et vous ?

Que pensez-vous de ces études sur Android ?
Et pensez-vous que la sécurité de l'OS soit meilleure, moins bonne, ou égale à celle de ses concurrents (iOS, Windows Mobile, RIM, Symbian, etc) ?


En collaboration avec Gordon Fowler

[Federico_muy_bien]

Bref si Android a bel bien résisté au dernier Pwn2Own, ce concours très relevé où des Grey Hats essayent de pénétrer les systèmes et les navigateurs, il n'en resterait pas moins un OS vulnérable comme les autres.

Ni plus, ni moins.

Elles ne sont pas trés connues ses failles alors ...
Je ne connais pas le déroulement de ce concours mais comme il est dit il a l'air assez relevé ...

[dams78]

Elles ne sont pas trés connues ses failles alors ...
Je ne connais pas le déroulement de ce concours mais comme il est dit il a l'air assez relevé ...

J'allais cité la même partie du texte, j'ai bien aimé la conclusion aussi : on n'a pas réussi à le cracker mais il est quand même crackable .

Sinon comment est ce qu'on pourrait faire pour le rendre plus sécurisé? Apparemment la faille vient des applications et pas vraiment du téléphone. Comme ces applis sont regroupées sur un store (Android comme Apple d'ailleurs) est-ce qu'on ne pourrait pas essayer de regrouper la sécurité en ce point?
Je pense notamment à tester les applications automatiquement, examiner le trafic qu'elles génèrent, etc.

[Federico_muy_bien]

Le contrôle total du mobile peut être obtenu en exploitant des failles non patchées de Linux, sur lesquelles s'appuient Android, qui permettraient d'avoir un accès Root.

C'est le cas également de la faille : CVE-2009 1185, connue et patchée depuis plus d'un an, mais dont les opérateurs ne semblent pas se presser à appliquer le correctif.

J'aurais aimé savoir aussi si ce sont des failles de Linux non patchées ou des failles de Linux patchées mais pas mises à jour sur android.

Sinon la solution de Dam's parait la plus appropriée. Mais examiner le traffic de toutes les applis ...
Quand on voit que meme Apple, qui dit regarder ses applis avec minutie, a laissé une appli passer avec un code caché à l'interieur ...
Sinon je ne vois pas l'intérêt de laisser une appli disposer des droits d'une autre appli comme il est dit dans l'article. Si l'appli veut se connecter au net elle le dit et on interdit aux appli d'utiliser les droits d'autres applis.

[dams78]

J'aurais aimé savoir aussi si ce sont des failles de Linux non patchées ou des failles de Linux patchées mais pas mises à jour sur android.

Sinon la solution de Dam's parait la plus appropriée. Mais examiner le traffic de toutes les applis ...
Quand on voit que meme Apple, qui dit regarder ses applis avec minutie, a laissé une appli passer avec un code caché à l'interieur ...
Sinon je ne vois pas l'intérêt de laisser une appli disposer des droits d'une autre appli comme il est dit dans l'article. Si l'appli veut se connecter au net elle le dit et on interdit aux appli d'utiliser les droits d'autres applis.

J'avais aussi pensé à rendre les applis open-sources, mais tu peux pas l'imposer, ou alors il faudrait faire un deuxième store, ou tu garanties les applications.

[Shemsu-Hor]

En tout cas pour le coup ils ne nous apprennent rien de nouveau.

[ben51]

J'aurais aimé savoir aussi si ce sont des failles de Linux non patchées ou des failles de Linux patchées mais pas mises à jour sur android.

C'est le cas également de la faille : CVE-2009 1185, connue et patchée depuis plus d'un an, mais dont les opérateurs ne semblent pas se presser à appliquer le correctif. Cette failleaurait déjà été exploitée avec succès sur des téléphones HTC, le Droid (et Droid X), le G1 et le Hero.

[Federico_muy_bien]

Oui c'est le cas pour celle là mais qu'en est-il des autres ?