Passer au contenu

[Vendredi révélation] Android est rempli de failles

Durant cet été, de nombreux chercheurs ont décelé d’importantes failles au sein d’Android. Et la liste continue de s’allonger avec cette dernière découverte : la CVE-2015-3842….

Android-historique

Durant cet été, de nombreux chercheurs ont décelé d’importantes failles au sein d’Android. Et la liste continue de s’allonger avec cette dernière découverte : la CVE-2015-3842.

Google est dans la tourmente. Le problème Stagefright n’a toujours pas été résolu, malgré les patchs. Il y a aussi une autre faille, permettant de bloquer un smartphone sous simple réception de fichier.La porte est grande ouverte pour les hackers de tous bords.

À nouveau, le danger provient du serveur multimédia et plus précisément le composant AudioEffect. Par ce biais, les pirates peuvent accéder à tout le serveur multimédia de l’appareil : photo, musique, vidéo, etc. Cependant, c’est une faille qui se déclenche : il faut auparavant qu’un logiciel soit installé. Ce dernier permettra par la suite aux hackers de récupérer lesdits fichiers…

Nous en déduisons donc que le serveur multimédia de Google n’est pas assez bien protégé, puisque la grande partie des problèmes de cet été proviennent de celui-ci. À présent, deux questions se posent : combien d’autres failles allons-nous déceler, à présent que de nombreux chercheurs (et pirates) trifouillent le code du serveur multimédia ? Et à quel moment Google va-t-il colmater les fissures dans le muret ?

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

29 commentaires
    1. Rien à voir avec le sujet mais… là tu viens d’avoir une réaction de fanboy aussi…. je dis ça hein… :p

  1. Eh bien eh bien, on va bien rigoler, quand il y aura des robots dans toutes les maisons, imaginez le truc: “il y a une faille dans le process des trois lois, permettant à un pirate de prendre le contrôle de votre Android de ménage et de passer outre les 3 lois, nous vous conseillons d’éteindre votre robot en attendant qu’un correctif soit trouvé”
    Ca c’est pour la référence aux 3 lois d’Asimov dans la vrai vie y en aura pas … ça ressemblera plutôt à : “Fait divers: ENCORE, Mme Michu c’est fait cambrioler pour son propre Robot household free de Sydon, nouvelle victime d’une faille 0day découverte cette semaine dans le système AndrOs 10.3.9 mais apparemment connu du milieu des hackers depuis au moins trois mois d’après les dernières informations de l’éditeur d’antivirus Kypersgagn et visiblement déjà accessible par les script kiddies au vus de le recrudescence des DAR (Délits assistés par robot) auxquels on assiste depuis ces dernières semaines”
    Ok c’est pessimiste mais imaginez votre smartphone avec 2 bras et 2 jambes on rigole moins quand on voit à quel point les fabricants sortent de nouveaux produits en ayant comme priorité la sécurité des systèmes embarqués … Drone piratable, voiture piratable c’est déjà aujourd’hui pourtant l’informatique et les problème de piratage ne date pas d’hier …

    1. Avec Windows, cela fait des décennies qu’il y a quotidiennement des failles et depuis sa création en fait ! Oo
      iOS et Mac OS n’échappent pas à la règle surtout quand on voit la taille monstrueuse des “patches” qui atteignent allègrement plusieurs centaines de Mo, quand ce n’est pas le Go… iSic

      Si tu n’es pas connecté en permanence, tu l’as tout simplement dans le c*l pour récupérer les patches et à condition d’avoir une connexion internet particulièrement rapide, et/ou d’avoir une patience sans faille… xptdr

  2. Une faille dans le serveur multimédia d’Android accessible seulement après installation d’un logiciel… Dans ce cas précis pour moi la faille se trouve au niveau du user et non au niveau du système. C’est le con qui installe le logiciel la faille!

    Un correctif a été publié par Google mais d’ici à ce que les fabricants le diffuse il peut s’écouler des mois. En attendant il suffit juste de désactiver la réception automatique des MMS pour empêcher une éventuelle attaque.

    Ok ce genre de faille ne devrait pas exister mais en même temps la manip’ n’est pas bien compliquée pour bloquer une éventuelle attaque.

  3. Petite précisions : le blocage des réceptions MMS ne protège bien entendu que contre une éventuelle attaque via ce biais (attaque à distance via l’envoi d’un fichier). La faille dans StageFright sera toujours présente tant que le patch n’est pas appliqué.

    Ah et encore une chose (plus destiné à l’auteur de cet article à trolls qu’aux lecteurs de ce site) : l’installation d’un logiciel malveillant vous expose toujours à une éventuelle attaque et cela autant sur Android que sur n’importe quel OS (si jamais)…

  4. Un titre racolleur digne d’un fanboy Apple qui ne sait pas de quoi il parle, aucune information sur la date de sortie, l’existence ou non d’exploit, les versions d’android concernées. Heureusement le CVE est communiqué pour sauver l’honneur …

  5. “combien d’autres failles allons-nous déceler” Le “Nous” c’est pas le JDG j’espère ? Car dans ce cas je comprends la recrudescence des pubs et article pour téléphone android…

    “[Vendredi révélation] Android est rempli de failles”
    Putain je m’attendais à un article de fond et détaillé à la Elodie… J’ai vu Henel, j’ai compris que c’était juste pour du click et fin… On y apprend rien et Android, Appel ou Windows c’est pareil, y’a toujours des failles (Même les navigateurs internet sont pourri, suffit de voir à la journée mondiale des hackers)

    Article totalement inutile…

  6. Dire qu’il y a un trou de sécurité dans un OS après avoir installé un logiciel malveillant équivaut à dire que votre auto est à risque de se faire voler si vos portes sont débarrées et que les clés sont dans le contact.

  7. @Google est dans la tourmente.

    Pas vraiment XD, j’aime quand le redacteur affiche directement que son article c’est que du bait click 😀

    C’est le meme niveau que le Parisien hier ou avant hier qui annoncait que suite a la foudre, Google avait définitivement perdu des millions de données XD

  8. Question : Google devra-t-il fermer son code source pour limiter la découverte des failles ?

    Mais bon, quand on voir la multitude d’itérations d’iOS 8, passant de 8.0.x à 8.4.x sachant que c’est un système lourdement fermé… ^^
    Et quand c’est pas l’OS, c’est la plate-forme iTunes qui montre ses faiblesses…

    1. Google n’a aucun droit pour fermer le code d’android. De plus, c’est plutot une positif sur le long terme.

      1. Je n’ai jamais dis que Google le ferait ni ne le souhaitait puisque c’est simplement une question sur un plan stratégique.

        Pour ce qui concerne le droit, Google en a parfaitement le droit de fermer son code source, sauf probablement et uniquement sur la partie kernel.

        Mais ce que je voulais dire par cette question, c’est que ce serait “peut-être” une solution pour freiner la découverte des failles ou des brèches comme avec les OS fermés. Mais d’un autre côté cela permet aussi le comblement plus rapide de ces failles… à la condition que tous les constructeurs jouent le jeu… ^^

        Ensuite, l’autre problème de l’open source, c’est que cela permet surtout à la concurrence de piller sans vergogne les technologies de Google/Android : Apple est naturellement visé, Microsoft mais plus encore avec ses Windows 10 et Windows 10 Mobile qui se comporte comme toujours comme un parasite qui pompe tout ce dont il a besoin sans rien rendre en échange… :/

        1. “Apple est naturellement visé, Microsoft mais plus encore avec ses Windows 10 et Windows 10 Mobile qui se comporte comme toujours comme un parasite qui pompe tout ce dont il a besoin sans rien rendre en échange… :/”

          Oh le méchant troll qui râle parce que son android adoré a encore montré une faille, du coup faut baver sur les autres car son petit android cheri est parfait et que tous le monde le copie, et que de toute façon c’est la faute des autres parce que c’est pas un android que android de toute façon c’est trop de la balle parfait de la mort qui tue….
          Sérieux qu’est-ce qu’il faut pas lire comme connerie avec les fanboys……

          1. Arrête ton troll à deux balles !

            Je n’ai jamais prétendu que Android était dépourvu de failles ou de bugs et je suis le premier à le déplorer.
            Mais comparativement à son histoire et depuis sa création cela en fait tout de même peu par rapport à la concurrence. Je ne vais pas me répéter par rapport à Windows, mais quand tu vois que iOS 8 est passé de la version 8.0.x à 8.4.x avec toutes les sous-versions possibles et imaginables… ^^

        2. Ouais enfin, ces sytèmes sont si differents que ni Apple ni MS ne peuvent utiliser le code dispo dans AOSP et c’est pas comme si ils ne pouvaient pas reproduire eux memes ces technologies simplement en copiant le principe.

          1. Je crois comprendre sans me tromper que tu ne dois pas être un développeur… X)

            Il y a déjà eu l’affaire des notifications pompées par Apple et qui a valu à celui-ci le blocage de cette fonctionnalité à tous les détenteurs de produits Apple en Allemagne de ne plus pouvoir y accéder, donc ils devaient faire la synchronisation manuellement… Hi Hi Hi
            Et encore, Google/Samsung ont été sympa de limiter leurs actions à l’Allemagne.
            Il y a eu une autre affaire (j’ai oublié l’histoire) qui a également valu le blocage des produits Microsoft, mais celui-ci a contourné le problème en important ses produits depuis la Hollande, il me semble… ^^

            Microsoft avec son Windows 10 espère pouvoir utiliser toutes les applis Android via son émulateur, un peu comme le fait Intel avec ses produits mobiles Android.
            De plus, Apple va introduire le Picture in Picture, ainsi que le multi-fenêtrage dans son iOS 9 alors que ces deux fonctionnalités existent depuis 2009 dans l’AOSP Android, repris par Samsung, puis Windows 8.x et donc maintenant par Apple.
            Par la suite, on découvrira très certainement chez Apple ou Windows d’autres fonctionnalités pompés toujours dans l’AOSP d’Android… ^^

            Mais on voit bien que rien que pour Windows 10, Microsoft a pompé à tout va au point que maintenant il “adore” Linux. SIC

  9. Oui enfin rien ne change dans nos vies pour autant, c’est comme un scam que tu reçois dans ta boite mail, tu l’ouvre pas et tu es peinard, après si les gens savent pas prendre des précautions tant pis pour eux

    1. ça me fait penser à mon taf , tiens.
      -Dis moi, je viens de recevoir une pièce jointe compressée dans un mail en russe, mais j’arrive pas à l’ouvrir…
      *Facepalm*
      -Tu attends un document d’un russe??
      -Non
      -Ben pourquoi tu l’ouvres alors??
      -Et si c’est important!!
      -Et si c’est un virus?

  10. C’est sûr que c’est plus facile de chercher des failles dans un OS (partiellement) open-source que dans un OS propriétaire… Mais ca veut pas dire qu’il y en a plus dans le premier ^^

Les commentaires sont fermés.

Mode