Microsoft alerte au sujet d’une faille permet à une app vérolée de voler des données et de prendre le contrôle d’une application saine. Cette faille concerne des milliards de smartphones.
Nommée “Dirty stream”, cette faille découverte par les chercheurs de Microsoft, permet à une application malveillante d’entrer en contact et d’infiltrer certaines applications légitimes. La faille se trouve dans le système de communication des applications sur Android. Ce système agit comme intermédiaire et facilite le partage et l’accès sécurisés aux données entre différentes applications et services et comprend un système d’autorisations. Lorsque ce dernier est mal configuré, ces autorisations permettent de contourner les mécanismes de sécurité du système d’exploitation. Comme l’explique Microsoft, une ” mauvaise implémentation “ du fournisseur ” peut introduire des vulnérabilités qui pourraient permettre de contourner les restrictions de lecture/écriture dans le répertoire personnel d’une application “.
Le rapport de Microsoft indique que la faille laisse le hacker ” écraser des fichiers dans le répertoire personnel de l’application vulnérable “. Une fois que c’est fait, l’application malveillante est capable d’exécuter arbitrairement du code et d’obtenir « un contrôle total sur le comportement d’une application ». Par ailleurs, le pirate peut s’octroyer ” un accès aux comptes de l’utilisateur et aux données sensibles “ stockées sur le smartphone.
Plusieurs applications cumulant plus de quatre milliards de téléchargements sur la Play Store ont été identifiées par Microsoft. On retrouve File Manager, le gestionnaire de fichiers de Xiaomi, et WPS Office, une suite bureautique conçue par la société chinoise Kingsoft. Alertés par Microsoft, Xiaomi et Kingsoft ont déployé des correctifs. Selon Microsoft, “Dirty stream” peut se retrouver dans le code de plusieurs autres applications Android. Microsoft encourage “les développeurs et les éditeurs à vérifier leurs applications à la recherche de problèmes similaires”.
Google a d’ailleurs mis à jour ses consignes de sécurité à destination des développeurs d’applications Android suite aux découvertes de Microsoft. Ces nouvelles consignes visent à prévenir l’apparition de vulnérabilités dans le fonctionnement du fournisseur de contenus des applications Android. Le géant de la Tech recommande d’” ignorer le nom de fichier “ fourni par l’application communicante et d’” utiliser à la place son propre identifiant unique généré en interne comme nom de fichier”. Pour Microsoft, la meilleure solution reste d’opter pour ” des noms générés aléatoirement, de sorte que même dans le cas où le contenu d’un flux entrant est mal formé, il n’altérera pas l’application “.
.
Source : Microsoft
Le saviez-vous : Amazon propose la livraison de courses Monoprix le jour même, et les…
Après un premier passage en commission au Sénat, le texte visant à interdire les réseaux…
Entre stratégie historique, exploration spatiale, roguelike tactique et aventures fantastiques, la nouvelle sélection de jeux…
Faut-il s'attendre à voir les prix de Netflix augmenter en France d'ici quelques mois ? …
Les abonnés Free TV devront s’adapter : le compte X n’assure plus de support direct…
Les arnaques aux faux livreurs gagnent hélas en crédibilité grâce à l’intelligence artificielle. Le Ministère…