IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

La sécurité d'Android remise en question au BlackHat 2010

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 503
    Points
    68 503
    Par défaut La sécurité d'Android remise en question au BlackHat 2010
    La sécurité d'Android remise en question
    Au BlackHat 2010 à cause de failles de Linux non-patchés et du système de permission


    Réputé pour être « impiratable » , le système Android serait tout sauf inattaquable. C'est en tout cas la conclusion des présentations de quelque chercheurs-orateurs durant la conférence Black Hat 2010.

    Dans une première présentation, le CEO de Lookout, John Gerring parle de l'application des fonds d'écrans « Jackeey Wallpaper », qui a été téléchargé des millions de fois et qui peut rassembler et transmettre à un site web en Chine des mots de passes, des historiques de navigation, l'identifiant de l'abonné, le numéro de la carte SIM et les SMS.

    Les chercheurs de Lookout (spécialiste de la sécurité pour mobiles) auraient même trouvé le moyen d'utiliser cette application pour prendre le contrôle total du mobile.

    Le contrôle total du mobile peut être obtenu en exploitant des failles non patchées de Linux, sur lequel s'appuie Android, qui permettraient d'avoir un accès Root.

    C'est le cas également de la faille : CVE-2009 1185, connue et patchée depuis plus d'un an, mais dont les opérateurs ne semblent pas se presser à appliquer le correctif. Cette failleaurait déjà été exploitée avec succès sur des téléphones HTC, le Droid (et Droid X), le G1 et le Hero.

    Dans une seconde conférence, Anthony Lineberry, un chercheur à Lookout estime que la sécurité du système Android est exagérée. Mais l'obtention de l'accès root n'est pas le seul moyen d'attaquer l'OS mobile.

    Les applications Android demandent des permissions d'accès à certaines ressources du téléphone. Les développeurs listent les permissions requises par leurs applications, liste que le client doit valider s'il désire utiliser l'application.

    Si une applications qui trient les SMS et demande un accès Internet peut paraitre suspecte, d'autres permissions peuvent sembler inoffensives, comme "Importer les Log d'Android". Or les logs peuvent révéler des informations confidentielles qui pourront être envoyées en arrière-plan ou en affichant des pages web d'apparence inoffensives, a en substance expliqué Tim Wyatt.

    Pour mémoire, la société Lookout a réalisé une étude appelée « Projet App Genome », qui examine les applications iPhone et Android en fonction des permissions requises et des risques qui peuvent en résulter.

    Une autre facette du problème est qu'Android autorise les applications à utiliser les ressources d'autres applications. Une application sans accès à internet peut par exemple y accéder à travers une autre qui a, elle, accès au web.

    Bref si Android a bel bien résisté au dernier Pwn2Own, ce concours très relevé où des Grey Hats essayent de pénétrer les systèmes et les navigateurs, il n'en resterait pas moins un OS vulnérable comme les autres.

    Ni plus, ni moins.


    Source : Site de BlackHat 2010 et le billet de Lookout sur le Projet App Genome

    Lire aussi :

    Android : nouveau système pour lutter contre le piratage des applications payantes, elles devront se connecter aux serveurs de Google

    « Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur » répond Google, après l'étude sur Android Market

    Les rubriques (actu, forums, tutos) de Développez :

    Android
    Sécurité
    Mobile
    Systèmes



    Et vous ?

    Que pensez-vous de ces études sur Android ?
    Et pensez-vous que la sécurité de l'OS soit meilleure, moins bonne, ou égale à celle de ses concurrents (iOS, Windows Mobile, RIM, Symbian, etc) ?


    En collaboration avec Gordon Fowler

  2. #2
    Membre habitué Avatar de Federico_muy_bien
    Profil pro
    Inscrit en
    avril 2009
    Messages
    154
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France

    Informations forums :
    Inscription : avril 2009
    Messages : 154
    Points : 171
    Points
    171
    Par défaut
    Citation Envoyé par Idelways Voir le message
    Bref si Android a bel bien résisté au dernier Pwn2Own, ce concours très relevé où des Grey Hats essayent de pénétrer les systèmes et les navigateurs, il n'en resterait pas moins un OS vulnérable comme les autres.

    Ni plus, ni moins.
    Elles ne sont pas trés connues ses failles alors ...
    Je ne connais pas le déroulement de ce concours mais comme il est dit il a l'air assez relevé ...
    La programmation aujourd’hui est une course entre les développeurs tâchant de concevoir des programmes de plus en plus nombreux et efficaces, convenant même aux imbéciles, et l’univers essayant de produire des idiots de plus en plus nombreux et efficaces. Jusqu’à présent, c’est l’univers qui gagne.

  3. #3
    Membre émérite
    Profil pro
    Inscrit en
    mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : mars 2005
    Messages : 1 683
    Points : 2 629
    Points
    2 629
    Par défaut
    Citation Envoyé par Federico_muy_bien Voir le message
    Elles ne sont pas trés connues ses failles alors ...
    Je ne connais pas le déroulement de ce concours mais comme il est dit il a l'air assez relevé ...
    J'allais cité la même partie du texte, j'ai bien aimé la conclusion aussi : on n'a pas réussi à le cracker mais il est quand même crackable .

    Sinon comment est ce qu'on pourrait faire pour le rendre plus sécurisé? Apparemment la faille vient des applications et pas vraiment du téléphone. Comme ces applis sont regroupées sur un store (Android comme Apple d'ailleurs) est-ce qu'on ne pourrait pas essayer de regrouper la sécurité en ce point?
    Je pense notamment à tester les applications automatiquement, examiner le trafic qu'elles génèrent, etc.
    dam's

  4. #4
    Membre habitué Avatar de Federico_muy_bien
    Profil pro
    Inscrit en
    avril 2009
    Messages
    154
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France

    Informations forums :
    Inscription : avril 2009
    Messages : 154
    Points : 171
    Points
    171
    Par défaut
    Citation Envoyé par Idelways Voir le message
    Le contrôle total du mobile peut être obtenu en exploitant des failles non patchées de Linux, sur lesquelles s'appuient Android, qui permettraient d'avoir un accès Root.

    C'est le cas également de la faille : CVE-2009 1185, connue et patchée depuis plus d'un an, mais dont les opérateurs ne semblent pas se presser à appliquer le correctif.
    J'aurais aimé savoir aussi si ce sont des failles de Linux non patchées ou des failles de Linux patchées mais pas mises à jour sur android.

    Sinon la solution de Dam's parait la plus appropriée. Mais examiner le traffic de toutes les applis ...
    Quand on voit que meme Apple, qui dit regarder ses applis avec minutie, a laissé une appli passer avec un code caché à l'interieur ...
    Sinon je ne vois pas l'intérêt de laisser une appli disposer des droits d'une autre appli comme il est dit dans l'article. Si l'appli veut se connecter au net elle le dit et on interdit aux appli d'utiliser les droits d'autres applis.
    La programmation aujourd’hui est une course entre les développeurs tâchant de concevoir des programmes de plus en plus nombreux et efficaces, convenant même aux imbéciles, et l’univers essayant de produire des idiots de plus en plus nombreux et efficaces. Jusqu’à présent, c’est l’univers qui gagne.

  5. #5
    Membre émérite
    Profil pro
    Inscrit en
    mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : mars 2005
    Messages : 1 683
    Points : 2 629
    Points
    2 629
    Par défaut
    Citation Envoyé par Federico_muy_bien Voir le message
    J'aurais aimé savoir aussi si ce sont des failles de Linux non patchées ou des failles de Linux patchées mais pas mises à jour sur android.

    Sinon la solution de Dam's parait la plus appropriée. Mais examiner le traffic de toutes les applis ...
    Quand on voit que meme Apple, qui dit regarder ses applis avec minutie, a laissé une appli passer avec un code caché à l'interieur ...
    Sinon je ne vois pas l'intérêt de laisser une appli disposer des droits d'une autre appli comme il est dit dans l'article. Si l'appli veut se connecter au net elle le dit et on interdit aux appli d'utiliser les droits d'autres applis.
    J'avais aussi pensé à rendre les applis open-sources, mais tu peux pas l'imposer, ou alors il faudrait faire un deuxième store, ou tu garanties les applications.
    dam's

  6. #6
    Membre régulier
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 41
    Points : 79
    Points
    79
    Par défaut
    En tout cas pour le coup ils ne nous apprennent rien de nouveau.

  7. #7
    Membre du Club
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    72
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2007
    Messages : 72
    Points : 58
    Points
    58
    Par défaut
    Citation Envoyé par Federico_muy_bien Voir le message
    J'aurais aimé savoir aussi si ce sont des failles de Linux non patchées ou des failles de Linux patchées mais pas mises à jour sur android.
    Citation Envoyé par Idelways Voir le message
    C'est le cas également de la faille : CVE-2009 1185, connue et patchée depuis plus d'un an, mais dont les opérateurs ne semblent pas se presser à appliquer le correctif. Cette failleaurait déjà été exploitée avec succès sur des téléphones HTC, le Droid (et Droid X), le G1 et le Hero.

  8. #8
    Membre habitué Avatar de Federico_muy_bien
    Profil pro
    Inscrit en
    avril 2009
    Messages
    154
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France

    Informations forums :
    Inscription : avril 2009
    Messages : 154
    Points : 171
    Points
    171
    Par défaut
    Citation Envoyé par ben51 Voir le message
    Oui c'est le cas pour celle là mais qu'en est-il des autres ?
    La programmation aujourd’hui est une course entre les développeurs tâchant de concevoir des programmes de plus en plus nombreux et efficaces, convenant même aux imbéciles, et l’univers essayant de produire des idiots de plus en plus nombreux et efficaces. Jusqu’à présent, c’est l’univers qui gagne.

Discussions similaires

  1. Linq et remise en question
    Par topolino dans le forum Linq
    Réponses: 7
    Dernier message: 03/02/2010, 13h47
  2. Remise en question tant qu'il est encore temps!
    Par yann0807 dans le forum Emploi
    Réponses: 14
    Dernier message: 23/10/2009, 17h20
  3. Recherche d'information sur les xml - Remise en question des choix en cours de codage
    Par Caxton dans le forum Format d'échange (XML, JSON...)
    Réponses: 2
    Dernier message: 26/08/2009, 18h12
  4. Remise en question !?
    Par Ska_Dg dans le forum Emploi
    Réponses: 9
    Dernier message: 07/04/2008, 14h27
  5. Remise en question
    Par mister3957 dans le forum Emploi
    Réponses: 9
    Dernier message: 24/10/2007, 11h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo