Et si des pirates informatiques pouvaient prendre une application légitime existante ou la mettre à jour avec une signature numérique valide, et modifiez-le afin de l'utiliser comme un cheval de Troie malveillant pour accéder à tout sur votre téléphone Android ou tablette? Lorsque les chercheurs d'une start-up de sécurité mobile ont appelé Bluebox Security dévoilé qu'ils avaient identifié une telle vulnérabilité qui affectait "99 %" des appareils Android, elle a fait la une des journaux technologiques sur le Web. Mais faut-il s'inquiéter ?
Quel est le problème?
"Cette vulnérabilité, au moins depuis la sortie d'Android 1.6 (nom de code: "Donut"), pourrait affecter n'importe quel téléphone Android sorti au cours des 4 dernières années", a expliqué Jeff Forristal, Bluebox CTO, dans un publication sur le blog de l'entreprise. Il a poursuivi en soulignant que "... un pirate peut exploiter la vulnérabilité pour n'importe quoi, du vol de données à la création d'un botnet mobile".
Vidéos recommandées
Les fichiers APK, ou package d'application Android, sont menacés car cette faille permet aux pirates de modifier une application ou une mise à jour légitime, mais conserve la signature numérique qui la vérifie comme étant sécurisée. Ils pourraient créer une fausse application pour voler vos mots de passe et utiliser une signature numérique légitime, de sorte que votre téléphone Android pense qu'il a été fabriqué par une entreprise comme Samsung, HTC ou même Google elle-même. Étant donné que les fabricants d'appareils et les partenaires de confiance produisent des applications avec un accès privilégié à votre système Android, le risque que quelque chose de malveillant se greffe sur votre téléphone est très sérieux.
En rapport
- 5 choses que nous aimerions voir à Google I/O 2023 (mais probablement pas)
- Détendez-vous, la règle effrayante de l'USB-C de l'UE ne vous privera pas des avantages de la charge rapide
- Les meilleures applications de blocage des publicités pour Android en 2022
Qu'est-ce qui est fait à ce sujet ?
Bluebox a révélé le bogue de sécurité Android 8219321 à Google en février 2013. Google a déjà mis à jour le Play Store afin qu'il y ait des vérifications en place pour bloquer toutes les applications malveillantes utilisant cet exploit. Google a partagé le bogue avec ses partenaires matériels de l'Open Handset Alliance et certains fabricants ont déjà publié des correctifs pour résoudre ce problème de sécurité.
Comment puis-je éviter les logiciels malveillants ?
Si vous faites attention à ne jamais laisser votre téléphone sans surveillance et que vous n'installez que des applications et des mises à jour depuis Google Play, il n'y a pas vraiment de raison de s'inquiéter car vous n'êtes pas vraiment à risque. exploiter. Si vous voulez vous assurer que vous n'êtes pas affecté, allez dans Paramètres > Sécurité et assurez-vous que la case Autoriser l'installation à partir de "sources inconnues" n'est pas cochée.
Nous avons discuté de la Principes de base de la sécurité des applications Android avant et ils s'appliquent toujours. Les criminels ne peuvent plus utiliser le Google Play Store pour diffuser des logiciels malveillants à l'aide de cet exploit. Il est donc désormais possible d'y télécharger des applications en toute sécurité. Ce que vous devriez éviter, c'est d'installer des applications ou des mises à jour à partir d'autres sources - même les magasins d'applications Samsung ou Amazon - du moins, pour l'instant. Les magasins d'applications Android tiers et les liens directs sur les sites Web sont les méthodes de livraison les plus probables, mais les logiciels malveillants pourrait arriver par e-mail, ou même être transféré sur votre appareil via un câble USB (si vous connectez votre téléphone à votre ordinateur).
"Le principal problème de la propagation de logiciels malveillants sur Android est d'inciter l'utilisateur à télécharger et à installer quelque chose à partir de sources non sécurisées (certains marchés tiers ou directement depuis le web) », Maik Morgenstern, de l'institut de sécurité indépendant AV-Test, nous a expliqué. "La vulnérabilité signalée n'aide en aucune façon les auteurs de logiciels malveillants ici. Ils auraient toujours du mal à obtenir leurs créations sur le Google Play Store et même s'ils réussissaient, leurs applications ne seraient bien sûr pas répertoriées sous le compte de l'auteur d'origine. [Par exemple,] s'ils créent une version cheval de Troie de Angry Birds, il serait répertorié sous le nom des auteurs de logiciels malveillants et non sous Rovio. Ainsi, les utilisateurs trébucheraient à peine sur ces applications trojanisées. Si les utilisateurs téléchargent uniquement des applications à partir du Google Play Store, ils devraient être en sécurité.
Alors, je peux me détendre ?
Le problème avec Android est que Google peut prendre des mesures pour corriger les failles et les exploits de piratage, mais il ne peut pas déployer une mise à jour à l'échelle du système.
"Le principal problème est la politique de mise à jour de nombreux fabricants", nous a expliqué Morgenstern. "Les anciens appareils ne reçoivent plus de mises à jour (ils resteront donc vulnérables) et même les mises à jour des nouveaux appareils peuvent prendre des mois."
Il appartient aux fabricants individuels et aux opérateurs de téléphonie mobile (AT&T, Verizon, T-Mobile, Sprint, etc.) de diffuser les mises à jour sur les appareils. Il est courant que les anciens appareils Android soient laissés pour compte. Si vous avez un appareil plus ancien qui est à risque et que vous n'êtes pas content de vous en tenir à Google Play, vous pourriez être exposé pendant un certain temps.
Mise à jour 7-9-2013: Conseils de Bluebox
Après la publication de cet article, Bluebox nous a contacté. Ils exhortent les utilisateurs à ce que le meilleur moyen de réduire le risque de cette vulnérabilité soit de "vérifier auprès du fabricant de votre appareil ou de votre opérateur de téléphonie mobile le modèle spécifique de votre appareil Android". et la version du système d'exploitation pour voir si une mise à jour/correction récente a été mise à disposition. » Ils soulignent également que vous devrez peut-être vérifier les notes de version pour confirmer qu'un correctif est inclus dans le mise à jour. Si vous n'en trouvez pas pour votre appareil, ils vous suggèrent d'éviter d'installer quoi que ce soit en dehors de Google Play pour le moment.
Le directeur technique de Bluebox, Jeff Forristal, prévoit de publier des détails techniques sur le problème lors de son discours à Chapeau noir États-Unis 2013 à la fin du mois. Il reste à voir comment les principaux fournisseurs d'appareils Android réagiront. Nous vous tiendrons au courant.
Article initialement publié le 08/07/2013.
Recommandations des éditeurs
- Ne manquez pas votre chance d'obtenir cette tablette Android Lenovo pour 120 $
- Vous ne croirez pas à quel point cet iPad est bon marché grâce au Cyber Monday
- Google veut que vous sachiez que les applications Android ne sont plus réservées aux téléphones
- La meilleure chose à propos d'Android 13 n'est pas une nouvelle fonctionnalité ou un nouveau paramètre - c'est autre chose
- La recharge sans fil ne fonctionne pas sur votre Pixel avec Android 13? Vous n'êtes pas seul
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde trépidant de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
