19/05
Microsoft alerte sur une faille qui concerne des milliards de smartphone Android
Microsoft alerte au sujet d’une faille permet à une app vérolée de voler des données et de prendre le contrôle d’une application saine. Cette faille concerne des milliards de smartphones.
Nommée “Dirty stream”, cette faille découverte par les chercheurs de Microsoft, permet à une application malveillante d’entrer en contact et d’infiltrer certaines applications légitimes. La faille se trouve dans le système de communication des applications sur Android. Ce système agit comme intermédiaire et facilite le partage et l’accès sécurisés aux données entre différentes applications et services et comprend un système d’autorisations. Lorsque ce dernier est mal configuré, ces autorisations permettent de contourner les mécanismes de sécurité du système d’exploitation. Comme l’explique Microsoft, une ” mauvaise implémentation “ du fournisseur ” peut introduire des vulnérabilités qui pourraient permettre de contourner les restrictions de lecture/écriture dans le répertoire personnel d’une application “.
Le rapport de Microsoft indique que la faille laisse le hacker ” écraser des fichiers dans le répertoire personnel de l’application vulnérable “. Une fois que c’est fait, l’application malveillante est capable d’exécuter arbitrairement du code et d’obtenir « un contrôle total sur le comportement d’une application ». Par ailleurs, le pirate peut s’octroyer ” un accès aux comptes de l’utilisateur et aux données sensibles “ stockées sur le smartphone.
Quelles applications sont concernées ?
Plusieurs applications cumulant plus de quatre milliards de téléchargements sur la Play Store ont été identifiées par Microsoft. On retrouve File Manager, le gestionnaire de fichiers de Xiaomi, et WPS Office, une suite bureautique conçue par la société chinoise Kingsoft. Alertés par Microsoft, Xiaomi et Kingsoft ont déployé des correctifs. Selon Microsoft, “Dirty stream” peut se retrouver dans le code de plusieurs autres applications Android. Microsoft encourage “les développeurs et les éditeurs à vérifier leurs applications à la recherche de problèmes similaires”.
Google a d’ailleurs mis à jour ses consignes de sécurité à destination des développeurs d’applications Android suite aux découvertes de Microsoft. Ces nouvelles consignes visent à prévenir l’apparition de vulnérabilités dans le fonctionnement du fournisseur de contenus des applications Android. Le géant de la Tech recommande d’” ignorer le nom de fichier “ fourni par l’application communicante et d’” utiliser à la place son propre identifiant unique généré en interne comme nom de fichier”. Pour Microsoft, la meilleure solution reste d’opter pour ” des noms générés aléatoirement, de sorte que même dans le cas où le contenu d’un flux entrant est mal formé, il n’altérera pas l’application “.
.
Source : Microsoft