Le chercheur en sécurité M.J. Keith, travaillant pour Alert Logic, a déclaré lors de la dernière conférence HouSeCon avoir écrit un code permettant d'exécuter une commande shell dans le navigateur d'Android, avec à la clef la récupération possible de certains contenus. Le problème vient du fait que cette faille est connue depuis quelque temps déjà.
Il s'agit d'une faille dans WebKit connue par Google, dont le porte-parole Jay Nancarrow explique qu'elle « n'affecte pas Android 2.2 et plus ». Problème : selon Google, 64 % des téléphones équipés d'Android utilisent justement Android 1.5, 1.6 ou 2.1, et sont donc vulnérables. Cette faille ne permet d'accéder qu'aux données auxquelles le navigateur a accès : « vous avez le contrôle de la carte SD », explique Keith, qui a rendu sa faille publique. On peut aussi accéder aux photos, mais pas à plus, le navigateur des anciennes versions d'Android n'implémentant par les Device APIs de la plateforme HTML5, qui permettent par exemple l'accès aux SMS ou au carnet d'adresses.
De manière générale, cette faille pose la question de la sécurité sous Android : la faille dans PCRE qui a valu 10.000 $ à Charlie Miller a été réglée dans WebKit, mais pas sur Android. Coverty Scan aurait aussi découvert 88 failles « majeures » dans Android 2.2. Quand les failles sont bouchées, elles ne le sont qu'avec la dernière version de l'OS, mais c'est un reproche que l'on pourrait aussi faire à Apple (qui a laissé une partie des appareils iOS sur le carreau avec iOS 4) ou RIM.
Mais contrairement à iOS où tous les appareils peuvent être mis à jour immédiatement (et où en cas de problème majeur, Apple pourrait proposer une mise à jour iOS 3 et iOS 4, comme elle le fait parfois pour Mac OS X), c'est loin d'être le cas sous Android, où les opérateurs et les fabricants sont un frein à la mise à jour, puisque le processus est décentralisé sur Android — certains appareils sont d'ailleurs vendus sous une version de l'OS de Google qui n'est pas la dernière en date, un comble. Un autre aspect de la fragmentation d'Android sur lequel Google devra bien, à un moment ou à un autre, se pencher.
Via Network WorldLes mises à jour d'Android sont un frein à la sécurité
Le chercheur en sécurité M.J. Keith, travaillant pour Alert Logic, a déclaré lors de la dernière conférence HouSeCon avoir écrit un code permettant d'exécuter une commande shell dans le navigateur d'Android, avec à la clef la récupération possible de certains contenus. Le problème vient du fait que cette faille est connue depuis quelque temps déjà.
Il s'agit d'une faille dans WebKit connue par Google, dont le porte-parole Jay Nancarrow explique qu'elle « n'affecte pas Android 2.2 et plus ». Problème : selon Google, 64 % des téléphones équipés d'Android utilisent justement Android 1.5, 1.6 ou 2.1, et sont donc vulnérables. Cette faille ne permet d'accéder qu'aux données auxquelles le navigateur a accès : « vous avez le contrôle de la carte SD », explique Keith, qui a rendu sa faille publique. On peut aussi accéder aux photos, mais pas à plus, le navigateur des anciennes versions d'Android n'implémentant par les Device APIs de la plateforme HTML5, qui permettent par exemple l'accès aux SMS ou au carnet d'adresses.
De manière générale, cette faille pose la question de la sécurité sous Android : la faille dans PCRE qui a valu 10.000 $ à Charlie Miller a été réglée dans WebKit, mais pas sur Android. Coverty Scan aurait aussi découvert 88 failles « majeures » dans Android 2.2. Quand les failles sont bouchées, elles ne le sont qu'avec la dernière version de l'OS, mais c'est un reproche que l'on pourrait aussi faire à Apple (qui a laissé une partie des appareils iOS sur le carreau avec iOS 4) ou RIM.
Mais contrairement à iOS où tous les appareils peuvent être mis à jour immédiatement (et où en cas de problème majeur, Apple pourrait proposer une mise à jour iOS 3 et iOS 4, comme elle le fait parfois pour Mac OS X), c'est loin d'être le cas sous Android, où les opérateurs et les fabricants sont un frein à la mise à jour, puisque le processus est décentralisé sur Android — certains appareils sont d'ailleurs vendus sous une version de l'OS de Google qui n'est pas la dernière en date, un comble. Un autre aspect de la fragmentation d'Android sur lequel Google devra bien, à un moment ou à un autre, se pencher.
Via Network WorldRejoignez le Club iGen
Soutenez le travail d'une rédaction indépendante.
Rejoignez la plus grande communauté Apple francophone !
Apple Intelligence se fait étriller par la BBC
22:30
• 0
Promos : Station de recharge 2 en 1 Belkin à 39 € et disque dur LaCie 4 To à 136 €
13:23
• 11
Nos coups de cœur et nos coups de gueule 2024
11:22
Apple sommée de retirer TikTok aux USA dès janvier
13/12/2024 à 20:45
• 87
Somfy : une mise à jour TaHoma a cassé les scènes HomeKit
13/12/2024 à 18:30
• 33
Promo : le mini chargeur de voyage 3-en-1 d’Anker à 75 € (-25 %)
13/12/2024 à 17:47
• 3
Le service de paiement Wero affiche déjà 8 millions de transactions pour 14 millions d'utilisateurs
13/12/2024 à 17:00
• 25
AirTag : United traquera les bagages perdus avec le partage de position d'iOS 18.2
13/12/2024 à 16:00
• 16
Resident Evil : Capcom supprime la connexion internet obligatoire et lance une série de promos
13/12/2024 à 11:43
• 18
USB-C : Apple va arrêter la vente des iPhone SE et iPhone 14 dans l'Union européenne
13/12/2024 à 10:23
• 45
Apple sortirait des nouvelles versions de l’Apple TV et du HomePod mini en 2025
13/12/2024 à 07:53
• 18
L’Apple TV serait le premier produit à étrenner la puce Wi-Fi de la pomme
12/12/2024 à 21:15
• 46
Avez-vous personnalisé les boutons de l'écran verrouillé d'iOS 18 ?
12/12/2024 à 18:15
• 85
La sortie morcelée d’iOS 18 ralentirait le développement d’iOS 19
12/12/2024 à 17:30
• 51
iPhone 17 : les rumeurs s'alignent sur des capteurs photo en bandeau
12/12/2024 à 16:45
• 43
Plans souligne les itinéraires les plus écologiques
12/12/2024 à 15:15
• 40
Test de la télécommande universelle de SwitchBot : la Logitech Harmony a-t-elle enfin un successeur ?
Test du boîtier Philips Hue Play HDMI Sync Box 8K : l'Ambilight sans TV Ambilight
Test du Kindle Colorsoft Signature Edition : lire jaune
Test de la manette Xbox Adaptive de Microsoft, qui fonctionne parfaitement avec les produits Apple
La maison au soleil : test du système SOLIX d’Anker, le solaire avec batterie
