Une équipe de chercheurs en sécurité de l'université d'Ulm (Allemagne) a dévoilé une faille majeure de sécurité concernant tous les appareils sous Android 2.3.3 ou antérieur, c'est-à-dire l'écrasante majorité des smartphones Android (99.7% selon Google...).
Lorsqu'elle est exploitée, cette faille permet d'accéder à toutes les données personnelles que l'utilisateur a stockées dans son compte Google. Et malheureusement, les chercheurs expliquent que la faille est assez simple à exploiter. Le problème prévient d'un manque de sécurisation de certaines communications avec les serveurs de Google. Lors de l'accès au calendrier, aux contacts ou encore à Picasa, l'appareil se voit attribuer un jeton d'identification, valable 14 jours, qui est transmis en clair.
Ainsi, il suffit de récupérer ce jeton pour pouvoir ensuite se connecter au compte Google via une autre machine et accéder à toutes les informations qui y sont stockées, en lecture et en écriture. Ce jeton peut être particulièrement simple à récupérer lorsque l'appareil Android est connecté à un réseau Wi-Fi public, puisqu'il suffit alors d'analyser le traffic sur ce réseau pour voir passer le jeton.
Par ailleurs, la faille n'est que partiellement corrigée dans Android 2.3.4 et 3.0 : le jeton est désormais chiffré via une connexion HTTP pour les accès aux contacts et au calendrier, mais reste en clair pour l'accès à Picasa (l'application de synchronisation Android n'a pas été développée par Google).
Google a bien entendu indiqué travailler à la correction définitive du problème, mais il faudra ensuite que les constructeurs de smartphones et opérateurs diffusent les mises à jour, ce qui n'est pas toujours très rapide. Il est donc urgent que Google mette en place des procédures de mises à jour indépendantes de ses partenaires, comme évoqué lors de la Google I/O.
Posté par Matt le 18/05/2011 à 12h30
Aucun commentaire
Source : Clubic
Actualités relatives
17/08/2011 - De nouvelles failles de sécurité sous Android
24/02/2012 - Adobe abandonne la version Linux de Flash
31/01/2012 - Les autorités US s'inquiètent de la nouvelle politique de Google
23/05/2011 - Des millions d'adresses Gmail exposés à la collecte...
08/04/2011 - Chrome va sécuriser les téléchargements
15/03/2011 - La sécurité des produits Apple remise en question au Pwn2Own
08/03/2011 - Google utilise le "kill switch" d'Android
11/02/2011 - La sécurité des comptes Google se renforce
08/12/2010 - Google présente Chrome OS et le Chrome Web Store
23/07/2010 - Microsoft ne paiera pas pour les failles d'Internet Explorer
Rétroliens
URL pour les rétroliens :
http://www.infobidouille.com/actualites/retrolien/1759