Les failles de sécurités sur nos appareils mobiles paraissent sans fin. Après vous avoir parlé de Stagefright, voilà la faille CVE-2015-3153 qui pointe le bout de son nez. Deux chercheurs de la division sécurité chez IBM Or Peles et Roee Hay ont dévoilé lors de la conférence de sécurité à la EEUU.
CVE-2014-3153 : “une classe pour les dominer toutes”
Telle est la philosophie de cette faille. Le CVE-2014-3153 est un petit code qui peut être inclus dans une application. Aussi surprenant que cela puisse paraître, ladite application ne demande aucune autorisation qui pourrait mettre la puce à l’oreille au plus méfiant d’entre nous. Ce fameux code, une fois exécuté, permet d’élever les droits du pirate. C’est ce qui fait la dangerosité de la faille CVE-2014-3153, puisqu’une application détenant ce code peut être soumise au Play Store et passer sous les radars de la surveillance de Google.
La faille peut se cacher dans une application anodine et passer sous les radars du Play Store, car elle ne demande aucun droit particulier.
Une fois installée (par le biais d’un jeu ou d’une application) et activée celle-ci donne le contrôle total de l’appareil. La vidéo montre ci-dessous montre la mise en oeuvre et comment il est possible par exemple de changer une application Facebook par une factice. Le but : récupérer les identifiants de la victime.
La faille CVE-2014-3153 touche les appareils à partir d’Android 4.3 jusqu’à Android 6 Marshmallow, soit la moitié des appareils dans le monde. Bien que la démonstration montre grossièrement l’activation du code malicieux, dans les faits celui-ci se fait de manière transparente pour l’utilisateur. IBM a bien entendu prévenu les équipes de Google qui ont déjà lancé une série de patchs.
Espérons qu’il en soit de même pour les constructeurs et les opérateurs, pour ne pas laisser nos appareils vulnérables. Vous trouverez plus d’informations sur le blog de Trend Micro ou sur Usenix.org.
Source : National Vulnerability Database
The post Une faille Android rend les pirates indécelables appeared first on Android MT.
from Android MT http://ift.tt/1hVDghY
Aucun commentaire:
Enregistrer un commentaire