Discussion :

[Hinault Romaric]

Android : des malwares dissimulent une partie de leur code sur des serveurs distants
pour tromper la sécurité de Google Play


Pour contourner les mesures de sécurité appliquées aux applications avant leur validation sur les différentes galeries mobiles, les pirates développent des solutions apparemment inoffensives qui, après installation, téléchargent et installent du code malveillant à partir d’un serveur distant.

C’est ainsi que deux applications se faisant passer pour les jeux populaires « Super Mario Bros » et « GTA 3 - Moscow city » ont pu se retrouver sur le store Google Play le 24 juin.

Avant la découverte de celles-ci par le cabinet de sécurité Symantec, ces applications avaient déjà été téléchargées environ 50 000 à 100 000 fois.

Après installation, l’application, « Super Mario Bros » ou « GTA 3 - Moscow city », procédait au téléchargement d’un paquet supplémentaire « Activator.apk » depuis un compte sur Dropbox, et invitait les utilisateurs à l’installer.

L’application Activator effectuait par la suite des envois de SMS à un numéro surtaxé dans un pays à l’Est de l’Europe. Après quoi, elle demandait à être désinstallée.

Un subterfuge qui permettait ainsi au cheval de Troie « Dropdialer » de se dissimuler dans ces applications pour traverser sans aucun problème les barrières de sécurité de Google dont Bouncer, l’outil de scan automatique de Google Play pour détecter les malwares, activé en début d’année.

Les applications « Super Mario Bros » et « GTA 3 - Moscow city » ont été rapidement supprimées par Google de la galerie Android, après avoir été alerté par Symantec.

Une découverte qui vient confirmer le constat de Trend Micro sur la galerie officielle Google Play qui serait également un endroit dangereux.

Trend Micro dans son rapport de sécurité pour le second trimestre 2012, constate une augmentation de 400% du nombre de programmes malveillants Android, et prévoit que ce chiffre pourrait atteindre 129 000 avant la fin de l’année.

Source : Symantec

[Freem]

Je me demande ce qui empêche ces gens de faire la même chose sur les autres stores?

D'ailleurs, ce coups-ci, la faille est bien connue: PEBCAK. Si l'utilisateur réfléchissais avant d'installer des trucs, il n'aurait pas de problèmes.

En fin de compte, il s'agit plus de phishing que de hacking ici.

[ouvreboite]

Je ne comprend pas coment des applications peuvent envoyer des sms d'elles-même. Le système ne peut pas demander une validation à l'utilisateur à chaque envoit ?

[FxIzeL]

Je ne comprend pas coment des applications peuvent envoyer des sms d'elles-même. Le système ne peut pas demander une validation à l'utilisateur à chaque envoit ?

Non si tu as accepté l'autorisation d'envois de SMS.
Il y a des firewalls pour limiter ces accès comme LBE Privacy Guard

[Ryu2000]

Tout le monde devrait désinstaller toutes les applications qui demandent l'autorisation SMS, à moins que l'application servent à envoyer des SMS.

Mais par exemple, l'application Facebook la demande.

Ils doivent probablement récupérer des informations personnel grâce à ça, c'est bien le genre de l'entreprise...

[Lorito]

Je me demande ce qui empêche ces gens de faire la même chose sur les autres stores?

D'ailleurs, ce coups-ci, la faille est bien connue: PEBCAK. Si l'utilisateur réfléchissais avant d'installer des trucs, il n'aurait pas de problèmes.

En fin de compte, il s'agit plus de phishing que de hacking ici.

Bonjour,

c'est un peu facile de tout mettre sur le dos de l'utilisateur. Surtout dans ce cas où :
- Ils sont sur le store officiel
- Ils téléchargent un titre "connu"


De plus, avec l'omniprésence des DRM dans l'industrie vidéoludique, voir un Activator.apk ou un Securom.apk ne doit étonner plus aucun joueur...

Donc ok l'accès au SMS aurait du mettre la puce à l'oreille, mais il y a assez de facteurs pour ne pas (trop/exclusivement) taper sur l'usager.

[nicroman]

Quand même... quand on installe une appli de jeu qui demande de pouvoir envoyer des SMS, il y a des questions à se poser....

De même installer un jeu appelé "GTA 3...." alors que l'éditeur n'est pas rockstar est un peu olé olé ... mais bon...

[Lorito]

Quand même... quand on installe une appli de jeu qui demande de pouvoir envoyer des SMS, il y a des questions à se poser....

De même installer un jeu appelé "GTA 3...." alors que l'éditeur n'est pas rockstar est un peu olé olé ... mais bon...

C'est sûr, je dis simplement que balancer PEBKAC sans réfléchir à la responsabilité de Google est assez facile. Ils ont voulu un market centralisé, à eux d'en assurer la sécurité.

Et après tout, s'il est absurde qu'un jeu ai accès aux SMS, Google ne peut-il justement pas augmenter ces tests sur ces applications spécifiques?


edit : ortho

[znathan]

Apparemment il n'y a pas que les produits Windows qui sont des passoires!

[pprados]

C'est décrit dans le Hors série Android de Linux Mag de Juillet/Aout 2012. Les applications peuvent ainsi ne demander le privilège SMS qui si l'utilisateur le souhaite.
Une démo est dispo ici : https://play.google.com/store/apps/d...add.permission

[Flaburgan]

Moi ce que je comprends pas, c'est pourquoi on ne peut pas installer une application en CHOISISSANT NOUS les privilèges qu'on lui donne ?

Parce que là, c'est soit on accepte TOUT ce que l'appli demande, soit on ne l'installe pas.

Si j'étais sur ce réseau immonde qu'est Facebook par exemple, et que je souhaitais donc utiliser l'appli FB, pourquoi est-ce que je ne pourrais pas installer l'appli en acceptant qu'elle est accès à internet mais en l'empêchant d'accèder à ma liste de contact, ma carte SD, mes sms, ma position, etc... (En plus, l'application est installée de base sur les téléphones, c'est une honte, m'enfin bon... là c'est pas le sujet).

Et si je demande à l'application quelque chose qui nécessite l'accès à mes contacts, elle me le demande à ce moment là. C'est quand même pas bien compliqué comme algo, mais bon, ça empêche les boites de savoir tout ce qu'on a dans notre téléphone, alors...

[Lorito]

@Flaburgan : je crois que Cyanogen vous permet.

Mais je suis tout à fait d'accord avec vous, ce serait la meilleure solution.

[leminipouce]

@Flaburgan : je crois que Cyanogen vous permet.

Mais je suis tout à fait d'accord avec vous, ce serait la meilleure solution.

Sauf que Cyanogen, il faut encore pouvoir l'installer !

1. tout le monde, même sur ce forum, ne se sent pas l'âme/les capacités de le faire, alors pour des non-informaticiens...
2. certains téléphone (le mien par exemple...) ont leur bootloader bloqué. C'est une demande explicite de l'opérateur auprès du fabricant lors de la commande du portable. Résultat : impossible de changer la ROM ! Et contrairement à un rootage du téléphone, pour faire péter la protection "Bootloader Unlocker", c'est une manipulation hardware et software qu'il faut faire. Qui met inévitablement un terme à la garantie (sur un Sony, garantie 2 ans, ça me fait mal quand même !) Et inutile de dire qu'il y a encore moins de gens qui se sentent la capacité/l'envie de le faire !

Bref, avec des dizaines de demandes d'autorisations dans tous les sens à lire tout le temps, l'utilisateur fini par si perdre... et prendre l'habitude d'être obligé de toujours accepter... ou rien utiliser !

[nakk01]

L'application LBE Privacy Guard permet de le faire.. si téléphone root.

[bunam]

Sur iOS une solution :

http://en.wikipedia.org/wiki/IOS_SDK


"Apple's iOS SDK prevents any software on the iPhone from downloading or running external executable code"

Il y a des exceptions comme safari ou le moteur de rendu webkit

Ces machines sont destinées a un public lambda du coup il faut le protéger d'office plutôt que le former, car cela est carrément une perte de temps

[SurferIX]

Je ne comprend pas coment des applications peuvent envoyer des sms d'elles-même. Le système ne peut pas demander une validation à l'utilisateur à chaque envoit ?

Le problème est le même principe que partout (Windows en est l'exemple même) : une boite s'affiche avec un texte que l'utilisateur basique ne comprends jamais (j'insiste : utilisateur basique) qui demande les "droits d'administrateur".

Bien sûr, l'utilisateur basique clique sur "oui", il veut que son ordinateur continue à fonctionner !

En fait, il a donné les droits SMS = l'autorisation d'envoyer des SMS automatiquement.
Même problème lors de l'installation de programmes, virus, malwares sous Windows !
L'utilisateur basique ne comprend rien et clique sur "oui" !

C'est un problème sans solution réelle : on demande les droits d'admin. pour plus de sécurité, mais on clique sur "oui" sans réfléchir, ce qui fait péter le principe même de sécurité.