IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 508
    Points
    68 508
    Par défaut Android : faille critique découverte, elle permet d'installer des applications en contournant les permissions
    Android : une faille critique découverte
    Elle permet d'installer des applications en contournant le système de permission


    Des chercheurs en sécurité viennent de découvrir une faille critique qui permettrait à des pirates d'installer subrepticement des applications malicieuses avec des droits avancés sur les téléphones sous Android.

    Une application servant de proof-of-concept (PoC ou « preuve de faisabilité ») a été censurée et retirée de l'Android Market six heures après sa validation.

    Co-développé par Jon Oberheide et Zach Lanier, ce PoC était présenté comme la suite du jeu (très) populaire « Angry Birds ». L'application malicieuse téléchargeait et installait trois autres applications en contournant le système d'autorisation d'Android. Ces trois applications avaient, elles, toutes accès librement aux listes des contacts, le GPS, l'envoi des SMS...

    Elles pouvaient ensuite communiquer les informations collectées à des serveurs distants.

    On n'en sait pas beaucoup plus sur ce PoC, mis à part qu'il repose sur des faiblesses du système de "jetons" que l'OS mobile de Google utilise pour éviter à l'utilisateur de communiquer son mot de passe aux applications tierces.

    Les deux chercheurs donneront plus de détails aujourd'hui durant la conférence de sécurité organisée par Intel à Hillsboro (Oregon)

    En attendant, avis aux accrocs d'Angry Birds : son créateur vient d'ajouter 45 niveaux à son jeu... et ce n'est pas un PoC.

    Source : Forbes

    Et vous ?

    Que pensez-vous de cette nouvelle faille ? Faut-il mieux vérifier la sécurité des applications de l'Android Market ?

    En collaboration avec Gordon Fowler

  2. #2
    Membre chevronné
    Profil pro
    Développeur Java Indépendant
    Inscrit en
    mai 2007
    Messages
    1 333
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java Indépendant

    Informations forums :
    Inscription : mai 2007
    Messages : 1 333
    Points : 2 052
    Points
    2 052
    Par défaut
    Et dire que Google parlait de sortir un OS "sans faille" à propos de Chrome OS, on voit qu'ils sont pas meilleurs que les autres niveau sécurité...
    Yoshi

    PS : tous les propos tenus dans le message ci-dessus sont à préfixer avec "A mon humble avis", "Je pense que". Il serait inutilement fastidieux de le rappeler à chaque phrase.

  3. #3
    Membre actif Avatar de ABandApart
    Profil pro
    Étudiant
    Inscrit en
    avril 2010
    Messages
    90
    Détails du profil
    Informations personnelles :
    Âge : 32
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : avril 2010
    Messages : 90
    Points : 231
    Points
    231
    Par défaut
    Citation Envoyé par GanYoshi Voir le message
    Et dire que Google parlait de sortir un OS "sans faille" à propos de Chrome OS, on voit qu'ils sont pas meilleurs que les autres niveau sécurité...
    C'est vite dit.
    Android ne s'est pas fait pirater en 20 secondes.

  4. #4
    Expert éminent
    Avatar de Lyche
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    janvier 2007
    Messages
    2 523
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : janvier 2007
    Messages : 2 523
    Points : 6 466
    Points
    6 466
    Billets dans le blog
    4
    Par défaut
    Citation Envoyé par Dareho Voir le message
    C'est vite dit.
    Android ne s'est pas fait pirater en 20 secondes.
    qu'importe, quand tu te prétend le meilleur OS et sans faille, la moindre faille trouvée est un désavoeux et c'est pas bon pour la crédibilité, même si faire un OS sans faille relève de l'impossible, ils ont osé l'affirmer haut et fort.
    Je suis plutôt content.. ça va les pousser à faire mieux.
    Rejoignez la communauté du chat et partagez vos connaissances ou vos questions avec nous

    Mon Tutoriel pour apprendre les Agregations
    Consultez mon Blog SQL destiné aux débutants

    Pensez à FAQ SQL Server Ainsi qu'aux Cours et Tuto SQL Server

  5. #5
    Membre actif Avatar de ABandApart
    Profil pro
    Étudiant
    Inscrit en
    avril 2010
    Messages
    90
    Détails du profil
    Informations personnelles :
    Âge : 32
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : avril 2010
    Messages : 90
    Points : 231
    Points
    231
    Par défaut
    Citation Envoyé par Lyche Voir le message
    qu'importe, quand tu te prétend le meilleur OS et sans faille, la moindre faille trouvée est un désavoeux et c'est pas bon pour la crédibilité, même si faire un OS sans faille relève de l'impossible, ils ont osé l'affirmer haut et fort.
    Je suis plutôt content.. ça va les pousser à faire mieux.
    100% d'accord avec toi.
    Je faisais référence a la comparaison avec les autres entreprises.

  6. #6
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 313
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 313
    Points : 13 063
    Points
    13 063
    Par défaut
    Citation Envoyé par GanYoshi Voir le message
    Et dire que Google parlait de sortir un OS "sans faille" à propos de Chrome OS, on voit qu'ils sont pas meilleurs que les autres niveau sécurité...
    Tu mélanges un peu tout la:
    - ChromeOS que google a annoncé plus sur n'a rien à voir avec Android dont parle la news (à par l'utilisation d'un noyau Linux)

    - Google n'a jamais prétendu faire un OS sans faille. Il a juste avancé, à juste titre, que le principal problème de sécurité actuel : l'utilisateur qui installe n'importe quoi disparaissait sur ChromeOS qui se limite au cloud.

  7. #7
    Membre confirmé
    Inscrit en
    février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : février 2010
    Messages : 230
    Points : 579
    Points
    579
    Par défaut
    C'est vite dit.
    Android ne s'est pas fait pirater en 20 secondes.
    Tu veut rire? Android est l'OS le plus simple pour ce qui est du détournement d'applications payantes et de données personnelles.

    Pour détourner une appli payante qui n'implémente pas sa propre protection, il vous suffit de chercher son APK sur Google, et de l'ouvrir avec un simple explorateur de fichier.

    Si vous avez un ami qui a acheté cette application, utilisez un terminal pour en copier l'APK.

    Pour les données personnelles, les applications n'étant pour ainsi dire pas contrôlés (ceci http://www.developpez.com/actu/23529...-de-permission le prouve d'alleurs très bien), il vous suffit de duper l'utilisateur en incluant une fonction plus ou moins bidon justifiant l'accès aux données et vous pourrez les envoyer sur internet...

    Google ne vérifie absolument pas ce que fait l'application de vos données. (En tout cas, jusqu'a maintenant les news tendent à prouver cet état de fait). Il se contentent de vérifier que votre appli ne fera pas planter le système, et qu'elle ne révèle pas de failles.

    D'ailleurs, si j'ai bonne mémoire, Développez avait relayé une news révèlant que 75% pour appli du Market détournaient des infos personnelles commes les contact ou la position GPS vers des agences du pub...

    Et là je ne parle pas des ROM hackés et autre équivalents de jailbreak...

  8. #8
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 313
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 313
    Points : 13 063
    Points
    13 063
    Par défaut
    Citation Envoyé par GCSX_
    Tu veut rire? Android est l'OS le plus simple pour ce qui est du détournement d'applications payantes et de données personnelles.
    Désolé mais ça n'a rien a voir avec des failles de sécurité.

    Bien sur qu'une application non protégée et recopiable à volonté, pour moi c'est un avantage. De toute façon, les protections mise en place sous la plupart des téléphones sont contraignantes et inefficace.

    Quant a la récolte de donnée personnelles, c'est certes un problème, mais la encore pas du tout un problème de sécurité. Et android n'est pas plus à l'abri que n'importe quel OS à ce niveau.

  9. #9
    Membre chevronné
    Profil pro
    Développeur Java Indépendant
    Inscrit en
    mai 2007
    Messages
    1 333
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java Indépendant

    Informations forums :
    Inscription : mai 2007
    Messages : 1 333
    Points : 2 052
    Points
    2 052
    Par défaut
    Citation Envoyé par Uther Voir le message
    Tu mélanges un peu tout la:
    - ChromeOS que google a annoncé plus sur n'a rien à voir avec Android dont parle la news (à par l'utilisation d'un noyau Linux)

    - Google n'a jamais prétendu faire un OS sans faille. Il a juste avancé, à juste titre, que le principal problème de sécurité actuel : l'utilisateur qui installe n'importe quoi disparaissait sur ChromeOS qui se limite au cloud.
    En effet, j'ai retrouvé la news d'origine qui dit que Google promettait juste la fin des virus, et force est de constater que ce n'est pas un virus.

    Je sais qu'il s'agit de ChromeOS, mais je remet juste en cause la capacité de Google à faire des applications plus sécurisés que les autres, contrairement à ce que certains semblent penser.
    Yoshi

    PS : tous les propos tenus dans le message ci-dessus sont à préfixer avec "A mon humble avis", "Je pense que". Il serait inutilement fastidieux de le rappeler à chaque phrase.

  10. #10
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 313
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 313
    Points : 13 063
    Points
    13 063
    Par défaut
    Google n'a jamais prétendu faire plus sécurisé que les autres, et je ne pense pas que qui que ce soit de sérieux ne l'ait jamais cru.

    Il a juste annoncé à raison que le "cloud" (qui est la base de ChromeOS) serait un grand bond en avant au niveau de la sécurité ressentie par l'utilisateur, car il le décharge de ses deux principaux problèmes entrainant des vulnérabilités s'il sont mal gérés : l’installation de logiciel et les mises à jour.

Discussions similaires

  1. Réponses: 3
    Dernier message: 04/06/2014, 14h06
  2. Répertoire d'installation des applications Android
    Par Eriatolc dans le forum Android
    Réponses: 3
    Dernier message: 13/05/2011, 11h02
  3. Réponses: 10
    Dernier message: 13/06/2010, 21h08
  4. [UBUNTU] Comment installer des applications ?
    Par khaskhos dans le forum Ubuntu
    Réponses: 8
    Dernier message: 21/03/2007, 01h09
  5. Installer des applications sous Ubuntu
    Par Titeuf01-87 dans le forum Applications et environnements graphiques
    Réponses: 3
    Dernier message: 18/03/2007, 13h25

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo