Android cracké, 900 million de terminaux en danger

Publié le 05 juillet 2013 par Taytay92i @taytay92i

Décidément, Android et la sécurité ce n’est pas vraiment ça.

Une nouvelle faille de sécurité à été très récemment été découverte par la société BlueBox.

Cette faille serait tellement dangereuse que l’intégralité des terminaux tournants sous Android sont concernés.

Voici les caractéristiques de cette faille:

  • Modification d’une application sans que le changement soit détectable:

« vulnérabilité dans le modèle de sécurité d’Android permet à un pirate de modifier le code APK sans casser la signature de chiffrement d’une application, pour transformer n’importe quelle application légitime en un malveillant cheval de Troie, complètement invisible aux yeux de l’App Store, du téléphone ou de l’utilisateur final »

En gros vous pourrez vous retrouver avec une application "legit" qui aura été modifiée avant (dans le store) OU après (directement sur votre smartphone) et qui pourra donner au hacker le contrôle total de votre smartphone.Après ça ne comptez pas sur un LookOut ou autre anti-virus/spyware/trojan

Le pire dans cette histoire je crois, c’est que la dite-faille est semble t-il présente depuis la version 1.6 (Donut) d’Android.

Encore un autre risque, les fabricants/opérateurs qui installent une surcouche sur le smartphone augmente la taille de la faille:

« ce risque est aggravé si l’on considère que les applications développées par les fabricants de périphériques (…) ou par des tiers qui travaillent en collaboration avec le fabricant de l’appareil (par exemple Cisco AnyConnect VPN) bénéficient de privilèges élevés au sein Android »

Heureusement (dit BlueBox), la faille n’est pas encore massivement exploitée mais il faudra que Google réagisse au plus vite pour colmater cette brèche dans son système de sécurité.

Le fait de devoir dépendre de Google pour une mise à jour est assez inquiétant quand on sait à quel rythme les mises à jour Android sont déployées…:/

De plus BlueBox à signalé avoir informé Google de cette faille en Février dernier (avant les 1er hacks donc).

Well done Google!!!

Source