Android : une vulnérabilité toucherait 99% des smartphones

04 juillet 2013 à 15h06
0
Le cabinet de sécurité Bluebox explique avoir découvert une vulnérabilité majeure au sein du système Android, laquelle serait susceptible d'affecter l'ensemble des smartphones à l'exception du Samsung Galaxy S4.

00B9000004962624-photo-android-malware-ver-worm-sq-gb-logo.jpg
Un groupe de chercheurs en sécurité explique sur leur site avoir repéré un bug au sein du modèle de sécurité des applications mis en place par Google. Ce dernier permettrait à une personne malintentionnée de modifier le contenu d'un fichier d'installation APK sans pour autant casser la signature de chiffrement. Concrètement celle-ci permettrait donc de remplacer une application légitime par un cheval de Troie.

Bluebox affirme sur son site : « cette vulnérabilité est présente depuis au moins la version 1.6 d'Android (au nom de code "Donut") et pourrait affecter n'importe quel téléphone sur Android sorti ces 4 dernières années ». Cela représenterait au total 900 millions d'appareils. Interrogé par le magazine CIO, le directeur technique de Bluebox Jeff Forristal précise qu'à l'heure actuelle seul le Samsung Galaxy S4 fait figure d'exception, ce qui signifie qu'un patch a bel et bien été développé.

Toutes les applications Android disposent d'une signature chiffrée, laquelle est utilisée par le système afin de vérifier la légitimité de ces dernières. En exploitant cette vulnérabilité, il serait donc possible d'insérer n'importe quel type de malware qu'il s'agisse d'un outil envoyant des SMS surtaxés ou un mouchard récupérant des informations personnelles. Rappelons cependant que la menace provient principalement des plateformes de téléchargement autres que celle de Google Play ce qui signifie qu'il faudra préalablement avoir désactivé cette limite dans les paramètres.

Bluebox affirme avoir prévenu Google au mois de février mais à l'heure actuelle aucun patch n'a été déployé par les constructeurs. Les détails de cette vulnérabilité seront rendus publics à l'occasion du sommet BlackHat USA 2013 qui se déroulera du 27 juillet au 1er août. Reste à savoir si un correctif sera proposé d'ici là.


Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

L'EFF fait appel de la condamnation du hacker Andrew Auernheimer
Douglas Engelbart, inventeur de la souris, est mort
Sony Xperia Z Ultra, SmartWatch 2 et Smart Handset : prix et date de lancement en France
MediaTek préparerait le premier véritable processeur ARM à 8 cœurs
Vine propose une nouvelle mise à jour sur Android et iOS
<b>Joyeux Noël</b>
Prism : la France et la DGSE auraient également un outil de surveillance
Focal Easya : des enceintes colonnes à la fois Hi-Fi et sans fil
Skyhook pointe les pratiques de Google vis-à-vis d'Apple
L'hébergeur Online.net victime d'une coupure électrique
Haut de page