Le chercheur en sécurité M.J. Keith, travaillant pour Alert Logic, a déclaré lors de la dernière conférence HouSeCon avoir écrit un code permettant d'exécuter une commande shell dans le navigateur d'Android, avec à la clef la récupération possible de certains contenus. Le problème vient du fait que cette faille est connue depuis quelque temps déjà.
Il s'agit d'une faille dans WebKit connue par Google, dont le porte-parole Jay Nancarrow explique qu'elle « n'affecte pas Android 2.2 et plus ». Problème : selon Google, 64 % des téléphones équipés d'Android utilisent justement Android 1.5, 1.6 ou 2.1, et sont donc vulnérables. Cette faille ne permet d'accéder qu'aux données auxquelles le navigateur a accès : « vous avez le contrôle de la carte SD », explique Keith, qui a rendu sa faille publique. On peut aussi accéder aux photos, mais pas à plus, le navigateur des anciennes versions d'Android n'implémentant par les Device APIs de la plateforme HTML5, qui permettent par exemple l'accès aux SMS ou au carnet d'adresses.
De manière générale, cette faille pose la question de la sécurité sous Android : la faille dans PCRE qui a valu 10.000 $ à Charlie Miller a été réglée dans WebKit, mais pas sur Android. Coverty Scan aurait aussi découvert 88 failles « majeures » dans Android 2.2. Quand les failles sont bouchées, elles ne le sont qu'avec la dernière version de l'OS, mais c'est un reproche que l'on pourrait aussi faire à Apple (qui a laissé une partie des appareils iOS sur le carreau avec iOS 4) ou RIM.
Mais contrairement à iOS où tous les appareils peuvent être mis à jour immédiatement (et où en cas de problème majeur, Apple pourrait proposer une mise à jour iOS 3 et iOS 4, comme elle le fait parfois pour Mac OS X), c'est loin d'être le cas sous Android, où les opérateurs et les fabricants sont un frein à la mise à jour, puisque le processus est décentralisé sur Android — certains appareils sont d'ailleurs vendus sous une version de l'OS de Google qui n'est pas la dernière en date, un comble. Un autre aspect de la fragmentation d'Android sur lequel Google devra bien, à un moment ou à un autre, se pencher.
Via Network WorldLes mises à jour d'Android sont un frein à la sécurité
Le chercheur en sécurité M.J. Keith, travaillant pour Alert Logic, a déclaré lors de la dernière conférence HouSeCon avoir écrit un code permettant d'exécuter une commande shell dans le navigateur d'Android, avec à la clef la récupération possible de certains contenus. Le problème vient du fait que cette faille est connue depuis quelque temps déjà.
Il s'agit d'une faille dans WebKit connue par Google, dont le porte-parole Jay Nancarrow explique qu'elle « n'affecte pas Android 2.2 et plus ». Problème : selon Google, 64 % des téléphones équipés d'Android utilisent justement Android 1.5, 1.6 ou 2.1, et sont donc vulnérables. Cette faille ne permet d'accéder qu'aux données auxquelles le navigateur a accès : « vous avez le contrôle de la carte SD », explique Keith, qui a rendu sa faille publique. On peut aussi accéder aux photos, mais pas à plus, le navigateur des anciennes versions d'Android n'implémentant par les Device APIs de la plateforme HTML5, qui permettent par exemple l'accès aux SMS ou au carnet d'adresses.
De manière générale, cette faille pose la question de la sécurité sous Android : la faille dans PCRE qui a valu 10.000 $ à Charlie Miller a été réglée dans WebKit, mais pas sur Android. Coverty Scan aurait aussi découvert 88 failles « majeures » dans Android 2.2. Quand les failles sont bouchées, elles ne le sont qu'avec la dernière version de l'OS, mais c'est un reproche que l'on pourrait aussi faire à Apple (qui a laissé une partie des appareils iOS sur le carreau avec iOS 4) ou RIM.
Mais contrairement à iOS où tous les appareils peuvent être mis à jour immédiatement (et où en cas de problème majeur, Apple pourrait proposer une mise à jour iOS 3 et iOS 4, comme elle le fait parfois pour Mac OS X), c'est loin d'être le cas sous Android, où les opérateurs et les fabricants sont un frein à la mise à jour, puisque le processus est décentralisé sur Android — certains appareils sont d'ailleurs vendus sous une version de l'OS de Google qui n'est pas la dernière en date, un comble. Un autre aspect de la fragmentation d'Android sur lequel Google devra bien, à un moment ou à un autre, se pencher.
Via Network WorldRejoignez le Club iGen
Soutenez le travail d'une rédaction indépendante.
Rejoignez la plus grande communauté Apple francophone !
Comment les aspirateurs robots Matter prennent leurs quartiers dans la Maison d’Apple
10:00
• 2
Promo : l'iPhone 16e passe sous les 600 € au lieu de 719 €
09:40
• 11
Soldes : l'AirPods Max USB-C passe à 489 € (-90 €)
28/06/2025 à 11:45
• 9
Sortie de veille : Apple en totale roue libre sur le film F1 ?
28/06/2025 à 11:44
• 32
Êtes-vous consommateur de podcasts ?
28/06/2025 à 11:09
• 106
Les iPad Pro M5 ou M6 auraient des bordures d'écran plus fines
27/06/2025 à 19:01
• 41
Soldes : l'iPhone 16 à 749 € et l'iPhone 14 à 549 €
27/06/2025 à 17:50
• 15
Swift, le langage d'Apple, se tourne vers Android
27/06/2025 à 16:18
• 6
iOS 26 : coup d’œil sur les nouveautés d’Image Playground et des Genmojis
27/06/2025 à 14:40
• 10
Orange : le réseau mobile rétabli en France, mais des perturbations subsistent à l'étranger 🆕
27/06/2025 à 14:20
• 72
Le créateur de Delta transforme votre iPhone en Game Boy Camera
27/06/2025 à 14:00
• 5
La compatibilité partielle des webcams avec la Switch 2 expliquée (et c'est compliqué)
27/06/2025 à 13:05
• 8
Promo : l'iPad Air M3 passe sous les 600 € ! (soit 134 € d'économie)
27/06/2025 à 11:29
• 1
Podcasts : Apple fête les 20 ans d'une révolution qu'elle n'avait pas prévue
27/06/2025 à 11:16
• 6
DMA : Apple simplifie l'ajout de liens d’achat externes en Europe et introduit une nouvelle commission
27/06/2025 à 10:47
• 43
L’alimentation adaptative d’iOS 26 repose bien sur Apple Intelligence et demande un iPhone 15 Pro au minimum
27/06/2025 à 08:14
• 44
Test du Flip Folio : l'étui à clavier magnétique de Logitech pour iPad Air et iPad Pro
La maison au soleil : la Solarbank 2 AC ajoute la charge depuis le réseau au système solaire d’Anker
Test de la serrure SwitchBot Ultra, la première serrure Matter avec reconnaissance faciale en option
Test du Chipolo Pop, le traqueur Bluetooth multi-réseau (Apple ou Google) qui innove
Test d’un détecteur de présence sur piles pour Home Assistant
