Android : des chercheurs allemands trouvent une nouvelle fois des failles béantes
Sécurité - La sécurité du système d'exploitation mobile Android continue de faire parler. Cette fois, des chercheurs allemands ont pu exploiter des négligences dans le code d'applications populaires.
Android serait victime de nouvelles failles, si l'on en croit des chercheurs allemands. La source est fiable, puisqu'il s'agit de chercheurs des universités de Hanovre et de Marbourg, en Allemagne.
Selon eux, 1024 applications, sur 13500 étudiées, ne géreraient pas correctement l'implémentation des fonctionnalités de sécurité type SSL et TLS. Elles seraient ainsi vulnérables aux attaques HDM (homme du milieu).
Données confidentielles en fuite
En clair, les données qui transitent entre l'application et le serveur du service peuvent être interceptées au moment de la transmission. Les chercheurs expliquent qu'en se connectant via un réseau local, ils ont pu exploiter les failles de 41 de ces applications sur Ice Cream Sandwich.
Ils ont ainsi pu récupérer des données confidentielles, voire particulièrement sensibles. Noms, emails, messages instantanés, données de comptes sur les réseaux sociaux, mais aussi numéros de comptes bancaires, de carte bleue ou de comptes Paypal.
Les applications, dont les noms n'ont pas été dévoilés par les chercheurs, sont parmi les plus populaires : elles ont été téléchargées entre 39,5 et 185 millions de fois sur le marché applicatif de Google.
Outil d'analyse du code à venir
Concrètement, les chercheurs ont développé un outil d'exploitation des failles SSL qui a été testé sur 100 applications. Il est parvenu à en compromettre 41, ainsi qu'à se débarrasser à distance de la protection d'un antivirus.
"En manipulant les signatures de virus téléchargées lors de la mise-à-jour automatique d'un antivirus, nous avons pu neutraliser la protection ou même supprimer des applications au choix, y compris l'antivirus lui-même."
Les chercheurs signalent qu'ils distribueront bientôt un outil pour analyser le code des applications et mettre au jour les failles éventuelles. C'est un nouveau coup dur pour l'image d'Android, épinglé la semaine dernière par le FBI sur sa sécurité.(Comme Loozfon et de FinFisher capables de voler des données ou de permettre une prise de contrôle à distance du terminal;ou d'éviter les points d'accès non sécurisés,ou l'accès au boutiques tierces )
Dans un cas comme aujourd'hui, même l'outil natif promis par Google pour débusquer les applications malicieuses n'aura pas d'intérêt. Seule une politique plus stricte pour les applications du Google Play Store permettrait d'améliorer la situation.
Rappelons que contrairement à Apple, Google ne valide pas les applications avant leur mise en ligne dans sa boutique d'applications.
Aucun commentaire:
Publier un commentaire