Android faille de securite avec fuites de données

Publié le 20 Mai 2011

android

 

 L'université d'Ulm en Allemagne révèle une nouvelle faille sur le système d’exploitation mobile Android, 99,7 % des terminaux seraient exposés à une usurpation d’identité, d'où le risque de se faire pirater des données privées.


 Selon les experts informatiques de l'université, l'exploitation de la faille serait facile à mettre en place, la vulnérabilité se trouve dans une implémentation non-sécurisée du protocole d'authentification ClientLogin lors d'une connexion à des hotspots Wi-Fi publics.

 L'intention des chercheurs était de lancer une attaque sur le système de sécurisation des services en ligne de Google comme la messagerie Gmail, les applications Google Calendar, Google Contact ou Picasa.

 Cette faille concerne une grande majorité des appareils depuis la version Android 2.3.3 et antérieures, exploitée par des cyberpirates, ils pourraient accéder à partir de l'identification de l'utilisateur à l'ensemble des données privées de son mobile.

 Attention, de nombreuses applications tierces utilisant "ClientLogin" seraient concernées, pour éviter un risque potentiel Google recommande de se connecter avec le protocole HTTPS beaucoup plus sûr, qu'une simple connexion Http.


 Les universitaires allemands donnent des conseils aux développeurs, à Google et aux utilisateurs.

- d'utiliser le protocole HTTPS à la place de HTTP.

- de passer par un protocole d'authentification plus sécurisé comme oAuth.

- de réduire la durée de validité du jeton d’authentification

- de restreindre les connexions automatiques aux seuls réseaux sécurisés.

- d'éviter de se connecter à un réseau Wi-Fi ouvert,

- de désactiver le paramètre de connexion Wi-Fi automatique.

- de mettre à jour son smartphone Android vers la version 2.3.4.


 Google a été très réactif puisqu'il propose un patch pour corriger la faille sur Android, la firme de Mountain View a déclaré au journal en ligne All Things Digital qu'une correction s'effectue de façon transparente pour les utilisateurs puisque le correctif s'applique directement sur les serveurs de Google, mais il faudra compter une semaine pour que tout soit réglé.

 Ce problème est réglé sur la version 2.3.4 pour les applications Calendar et Contacts Google qui utilisent une connexion HTTPS, mais la faille existerait toujours sur Picasa Web Albums.


Source : Université Ulm - Communiqué All Things Digital

 

Rédigé par Cybersecurite

Publié dans #Smartphone

Repost 0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article