UNE NOUVELLE VERSION D'INFOBIDOUILLE EST EN LIGNE CLIQUEZ-ICI POUR LA VISITER

Android

Une équipe de chercheurs en sécurité de l'université d'Ulm (Allemagne) a dévoilé une faille majeure de sécurité concernant tous les appareils sous Android 2.3.3 ou antérieur, c'est-à-dire l'écrasante majorité des smartphones Android (99.7% selon Google...).

Lorsqu'elle est exploitée, cette faille permet d'accéder à toutes les données personnelles que l'utilisateur a stockées dans son compte Google. Et malheureusement, les chercheurs expliquent que la faille est assez simple à exploiter. Le problème prévient d'un manque de sécurisation de certaines communications avec les serveurs de Google. Lors de l'accès au calendrier, aux contacts ou encore à Picasa, l'appareil se voit attribuer un jeton d'identification, valable 14 jours, qui est transmis en clair.

Ainsi, il suffit de récupérer ce jeton pour pouvoir ensuite se connecter au compte Google via une autre machine et accéder à toutes les informations qui y sont stockées, en lecture et en écriture. Ce jeton peut être particulièrement simple à récupérer lorsque l'appareil Android est connecté à un réseau Wi-Fi public, puisqu'il suffit alors d'analyser le traffic sur ce réseau pour voir passer le jeton.

Par ailleurs, la faille n'est que partiellement corrigée dans Android 2.3.4 et 3.0 : le jeton est désormais chiffré via une connexion HTTP pour les accès aux contacts et au calendrier, mais reste en clair pour l'accès à Picasa (l'application de synchronisation Android n'a pas été développée par Google).

Google a bien entendu indiqué travailler à la correction définitive du problème, mais il faudra ensuite que les constructeurs de smartphones et opérateurs diffusent les mises à jour, ce qui n'est pas toujours très rapide. Il est donc urgent que Google mette en place des procédures de mises à jour indépendantes de ses partenaires, comme évoqué lors de la Google I/O.

Posté par Matt le 18/05/2011 à 12h30
Aucun commentaire
Source : Clubic