Nouvelle journée, nouvelle faille Android
Sous Android, les failles de sécurité se suivent sans forcément se ressembler. Il y a quelques jours, une grave vulnérabilité permettait à un malandrin d’exécuter du code à distance grâce à un MMS infectant le framework Stagefright (lire : Android : une faille de sécurité critique qui demande à être colmatée par les fabricants). Le spécialiste de la sécurité Trend Micro en a repéré une nouvelle qui, fort heureusement, est bien moins sérieuse (néanmoins, l’effet d’accumulation renforce l’image de fragilité d’Android).
Cette nouvelle faille touche tous les smartphones Android depuis la version 4.3 jusqu’à la toute récente 5.1.1 (plus de la moitié des terminaux en circulation). Elle permet à un canaillou de bloquer un mobile ; pour retrouver le plein usage de l’appareil, l’utilisateur devra payer une rançon. La vulnérabilité concerne le serveur multimédia d’AOSP, la base open source d’Android : en tentant d’indexer un fichier MKV infecté, le mediaserver en charge de l’indexation des contenus médias va planter et redémarrer, figeant alors l’OS pendant un court moment.
Pour être touché par le bug, l’utilisateur pourrait se rendre sur un site diffusant le MKV, ou télécharger une application infectée. Cette dernière ferait alors en sorte de redémarrer le smartphone en continu. Seule échappatoire pour l’utilisateur marri : payer la rançon pour se débarrasser du MKV spécial joué en boucle à chaque démarrage de l’appareil.
Trend Micro propose évidemment une solution qui passe par ses propres logiciels mobiles. On peut aussi redémarrer l’appareil en mode sans échec (qui ne charge pas les plug-in tiers), puis supprimer l’application problématique à la main. Mais Google peut également boucher la faille : le moteur de recherche est au courant depuis le mois de mai, mais devant l’inaction de l’entreprise (pour qui la vulnérabilité est de faible niveau), l’éditeur informatique a décidé de rendre la faille publique.
Canaillou au lieu de malandrin ?... Rien à dire, c'est parfait.
@Hercule Poirot :
J'ai mis les deux comme ça pas de jaloux.
Canaillou, hommage à Darry Cowl ! =)
Mmm, pour moi, c'est surtout un gredin.
Je préfèrais "coquinou" :)
j'en profite pour faire une demande.
Si vous pouviez de temps en temps placer "escroc de haute futaie" dans vos articles j'apprécierais énormément.
"(...) escroc de haute futaie, il tenait à n'être pas confondu avec les vulgaires chevaliers d'industrie, bonjouriers, cambrioleurs et filous de bas étage dont les exploits alimentent quotidiennement la troisième page des journaux"
Merci à Darry Cowl pour cet article.
les brigades du tigre.....moustache et la savate... attention malandrin
Attention Landru n'est pas très loin..:
Je rappelle à tous ceux qui ont la mémoire courte, qu'il n'y a pas si longtemps c'était iOS et OS X qui étaient touchés par un problème pas très rigolo non plus. Donc nul n'est a l'abris d'une faille, ni Android, ni iOS, ni OS X. Les failles sont faites pour être corrigées !
https://www.igen.fr/ios/2015/05/le-bug-dimessage-touche-lapple-watch-lipad-et-os-x-91392
La chose la plus pénalisante reste l'obligation d'avoir un anti-virus sur son PC comme c'est le cas sous Windows. C'est bien plus grave qu'une faille corrigée dans les semaines qui suivent.
C'est comme si on devait prendre un médicament à vie pour stopper une maladie.
Bonjour la contrainte !!!!
@Yosemite :
Ha le syndrome de la réciprocité, c'est lassant
@Yosemite :
Quelqu'un a dit le contraire concernant les failles sur iOS et OS X ?
@Strix & @conster
je sais j'ai fait mouche ! Rappeler de mauvaises souvenirs à des fanboys Apple c'est toujours douloureux à digérer...
@Yosemite :
Ça n'a rien à voir... Il y a une différence entre un but et une vulnérabilité ! Un SMS qui fait planter l'iPhone VS. une vidéo qui le rend inutilisable et un SMS qui permet de le contrôler totalement lol !
moi personne ne contrôle mon téléphone !
@Yosemite :
"moi personne ne contrôle mon téléphone !"
Tu m'étonnes , même pas toi ! :-)
@feefee :
C'est marrant mais ce troll me rappelle quelqu'un qui utilisait 2 comptes en même temps ^^
@Yosemite
Au moins le bouton home est simple d'utilisation et y a pas de risque de déclencher des trous bizarre comme en prenant en mains un portable Android...
@fousfous
Tu devrais regarder de près un Nexus 5 par exemple. Y'a pas de bouton poussoir Home. Les boutons sont virtuels et hyper réactifs ça va bien plus vite d'appeler le gestionnaire de tâches sur un Nexus que de faire une double pression sur ton iPhone avec son bouton poussoir mécanique !
le MKV volontairement pourri ne rend pas inutilisable le smartphone, cela plante le service d'indexation multimedia et gele un peu le système le temps de le relancer.
Ce que permettrait de transformer ce bug en faille capable de rendre inutilisable le smartphone, c'est une application qui ajouterait ce fichier MKV foireux encore et encore pour faire planter encore et encore un composant système majeur.
Mais pour ça, faut-il que l'application puisse s'installer sans accord de l'utilisateur.
Hors ça, actuellement, c'est pas possible.
L'injection de code via StageFright est elle nettement plus préoccupante, et de loin.
@Yosemite :
Bof , ton premier commentaire était un poncif et le second est du même acabit...
@conster
Tu sais OS X est connu pour être bourré de failles
@Yosemite :
Pour moi tu passes juste pour un android-fan décérébré, rien d'autre :D
Les fanboys décérèbres ne manquent pas ici. Ils s'entre-insultent pour savoir quelle multinationale est la meilleure, quelle est celle qui fait les produits les plus cools.
Une véritable cour de récréation d'école primaire pour enfants en difficulté. Mais avec des adultes.
@strix
ça c'est que tu voudrais faire croire mais moi, je suis comme les abeilles, je butine, je prends ici et là ce qu'il y a de mieux. Je ne mets pas tous mes oeufs dans le même panier comme les fanboys Apple de ce forum ! Et ils sont nombreux à le faire. hi hi hi hi
Au lieu de dénigrer bêtement Google, documentez-vous sur Microsoft et regardez un peu comment cette entreprise a réussi à se hisser au sommet en tuant ses concurrents dans les années 80/90 !
Windows est un système complètement MERDIQUE à la base. C'est le seul système qui a besoin d'un anti-virus pour se protéger des virus ! Tu as compris pourquoi il a besoin d'un anti-virus ?
Tout simplement parce qu'il a été conçu par des rigolos qui n'y connaissaient rien en OS à l'époque !
Google sait concevoir un OS. Google créé de très bons produits. Bing est encore loin derrière Google Search par exemple..
@Strix
j'ai un bagage informatique qui dépasse tes petites connaissances donc tu as du mal à comprendre ce que je dis.
@Yosemite :
Tu as un bagage informatique, je te laisse donc nous dire ce que tu sais faire hein...
@fousfous
toi tu lis "oui-oui fait de l'informatique", n'est ce pas ?
@Yosemite :
Décérébré avec des grosses chevilles.
Tu cumules :P
@Strix
Pauvre malade orgueilleux
@Yosemite :
Oh bah le troll s'énerve ^^
@Strix
troll ça ne veut rien dire ! Tu utilises ce mot lorsque tu ne sais plus quoi répondre !
Un troll c'est un fantasme nordique
Det är ingenting mer att såja !
Ca c'est du suédois mon grand ! Tu vois je parle suédois ! Ca te cloue le bec petit fanboy !
@Yosemite :
Wouahhhhhhh , moi aussi dis donc :
du fiser högre än din röv
Et même Javanais :
sing bodho !
@feefee
La différence ce que je parle vraiment suédois !
Je parle anglais (mais ça tout le monde parle anglais) et espagnol couramment également
La traduction que tu m'as donnée, tu l'as faite avec Google Traduction
Tu peux donc remercier Google car Apple ne fournit pas d'application pour traduire, déjà que son Siri ne comprends pas le français donc faut pas rêver !!!!
Encore une fois, tu veux faire le kéké mais tu as eu recourt aux produits de Google !
GROS NUL !!!!
@Yosemite :
Bing traduction est plus efficace que ton Google...
Mais bon pour faire de la traduction de façon vraiment sérieuse c'est wordreference qu'il faut utiliser.
@fousfous
Ah bon c'est pas Apple non plus ? ben merde alors !
@Yosemite :
Oui j'ai parlé enfin produit Apple la? Tu as un problème pour lire toi...
@fousfous
je me moque de toi !
hi hi hi
@fousfous
"Bing traduction est plus efficace que ton Google..."
Ca c'est toi qui le dit, venant d'un fanboy Apple permet moi d'en douter !
Déjà que te ne reconnais pas la nullité de ton Siri, je me demande comment tu peux dire que Bing est meilleur que Google traduction !
Là encore c'est ton opinion purement subjective et donc sans valeur à mes yeux.
Tu as entendu parler de la débâcle WinFS chez MS ?
Cela évoque-t-il des choses chez toi ? Si oui, alors laisse MS de côté, ils ont pas mal de problèmes à résoudre !
hi hi hi hi hi
@Yosemite :
Bah il se trouve que je dois être meilleur en anglais que toi et je peux te dire que Google traduction ça ne donne pas les bons mots...
D'ailleurs aux US ils préfèrent largement utiliser Bing traduction, une question d'inefficacité il paraît.
@fousfous
encore "il parait..." bref, aucune valeur
Siri est nul ça c'est sûr et certain !
hi hi hi hi hi
@Yosemite :
J'adore ta façon de jouer sur les mots là où il n'y a pas lieu sur une tournure de phrase, j'aurais pu enlever le il paraît ça n'aurais rien changé quand même...
@Yosemite :
"La traduction que tu m'as donnée, tu l'as faite avec Google Traduction"
Quelle capacité de déduction ! Impressionnant !
@feefee
GROS NUL ça se dit
STOR NOLLA !
Fou ça se dit : Du är galen
@Yosemite :
Pour information : un bug n'est pas une faille. Tu ne peux pas exploité ce dernier pour contrôler ou récupérer des informations sur le matériel qui a cette faille.
Le bug d'iMessage est, au pire, gênant car l'un de ses amis te l'aura envoyer soit inexistant car tes amis ne sont pas forcément des connard.
Après, il y les failles, bien plus grave et plus compliqué. Car ces dernière nécessité plus ou moins de préparation pour au final, accéder à ce que l'on veux sur le système.
Apple était victime récemment d'une faille sur iOS / Mac OS X qui permettait, via le trousseau, de récupérer pas mal d'information Personnel.
Sauf que cette faille nécessité aussi une validation côté serveur d'Apple.
On est donc arrivé a un résultat très simple : Apple a bouche le problème côté serveur -> faille non utilisable sur appareil non jaibreak, le correctif du côté client se fera probablement plus tard sur iOS 9.
Maintenant, si on reviens sur Android, le nombre de faille et de bug qu'il y a dessus sont tout simplement très inquiétant. Surtout les grosse faille que Google ne vas même pas corriger car les version sont trop veille...
Donc bon, pour l'instant, je suis désolé de te dire que du côté de Apple, le truc le plus gênant, c'est les bug, mais rien de bien grave en ce qui concerne la sécurité... Du côté d'android, on a l'air d'avoir les deux...
@Aldwyr
Oui tiens voici des failles sous iOS/OS X, elles ne sont pas si vieilles, publiées en juin 2015 :
http://www.phonandroid.com/apple-enorme-faille-securite-mac-os-ios-met-danger-utilisateurs.html
http://www.zdnet.fr/actualites/ios-os-x-apple-epingle-a-nouveau-pour-des-grosses-failles-de-securite-39820996.htm
D'un coté t'as une faille qui a été corrigé quelques semaines après, de l'autre une faille qui ne sera jamais corrigé sur la plus part des androphones.
Choisis ton camp camarade, celui du terminal suivit et celui de la passoire abandonnée !
Le pire virus que les iphones ont connu sont venu de... la 8.01 lol!
@phoenixback
trop drôle !
Oui, c'est bien de le rappeler à tous ces fanboys à la mémoire courte et peu objectifs !
"Cette nouvelle faille touche tous les smartphones Android depuis la version 4.3 jusqu’à la toute récente 5.1.1"
Bien content d'être encore sous Jellybean 4.2.2. La non-mise à jour a (quelquefois) du bon.
D'un autre côté, je ne télécharge jamais de MKV...
Quant à la toute récente vulnérabilité Stagefright, il suffit de demander au portable de ne pas télécharger les MMS automatiquement - case closed.
RAS sur le mien
Pages