Un milliard d’appareils Android vulnérables à un exploit

b2cblog

Mars 26, 2014

Promo Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 30 jours
Un milliard d’appareils Android vulnérables à un exploit

Un milliard d’appareils Android vulnérables à un exploit

La recherche a été menée conjointement entre l’Université de l’Indiana et Microsoft. La faille, de type « Pileup », se trouve dans le service de gestion des paquets (PMS) d’Android, qui autorise automatiquement les nouvelles permissions accordées aux applications déjà installées lors de la mise à jour de l’OS. Tous les appareils Android sont donc concernés.

C’est la conséquence qu’au fur et à mesure des versions d’Android, l’OS accorde de nouvelles permissions à certaines applications. Par exemple, la permission ADD_VOICEMAIL (qui permet de consulter le répondeur de l’utilisateur) a été ajoutée dans la version 4.0.4 d’Android. Mais si vous avez installé une application qui utilise cette permission sur l’OS en version 2.3.6, lors de la mise à jour d’Android, la permission sera automatiquement accordée à l’application.

« Quand un utilisateur met à jour Android vers une version qui dispose de nouvelles permissions, l’application est automatiquement capable de s’en servir, puisque l’utilisateur lui a autorisé l’accès dans le passé. Ironiquement, après avoir pendant longtemps réclamé des mises à jour d’Android auprès de Google, il s’avère que celles-ci peuvent ‘réveiller’ des malwares installés dans le passé », précise Bogdan Botezatu, Analyste sénior des e-menaces chez Bitdefender.

Entre autres, les applications peuvent baisser le niveau de sécurité, injecter du code javascript dans le navigateur Web pour accéder aux favoris et rediriger vers des pages de phishing, inspecter les cookies ou les favoris, ou encore prendre l’apparence d’applications ou de pages Web légitimes.

Les chercheurs montrent que la faille est présente sur des appareils de constructeurs et de pays différents. « Notre étude a montré que les vulnérabilités existaient dans toutes les versions officielles d’Android et sur les 3 522 versions de codes source de Samsung, LG et HTC que nous avons analysées », ajoutent-ils.

Google et les principaux constructeurs d’appareils Android ont ensuite été mis au courant de leur découverte.

Télécharger Clueful -- c'est gratuit

tags


Auteur



Vous pourriez également aimer

Marque-pages


loader