Microsoft alerte au sujet d’une faille permet à une app vérolée de voler des données et de prendre le contrôle d’une application saine. Cette faille concerne des milliards de smartphones.
Nommée “Dirty stream”, cette faille découverte par les chercheurs de Microsoft, permet à une application malveillante d’entrer en contact et d’infiltrer certaines applications légitimes. La faille se trouve dans le système de communication des applications sur Android. Ce système agit comme intermédiaire et facilite le partage et l’accès sécurisés aux données entre différentes applications et services et comprend un système d’autorisations. Lorsque ce dernier est mal configuré, ces autorisations permettent de contourner les mécanismes de sécurité du système d’exploitation. Comme l’explique Microsoft, une ” mauvaise implémentation “ du fournisseur ” peut introduire des vulnérabilités qui pourraient permettre de contourner les restrictions de lecture/écriture dans le répertoire personnel d’une application “.
Le rapport de Microsoft indique que la faille laisse le hacker ” écraser des fichiers dans le répertoire personnel de l’application vulnérable “. Une fois que c’est fait, l’application malveillante est capable d’exécuter arbitrairement du code et d’obtenir « un contrôle total sur le comportement d’une application ». Par ailleurs, le pirate peut s’octroyer ” un accès aux comptes de l’utilisateur et aux données sensibles “ stockées sur le smartphone.
Plusieurs applications cumulant plus de quatre milliards de téléchargements sur la Play Store ont été identifiées par Microsoft. On retrouve File Manager, le gestionnaire de fichiers de Xiaomi, et WPS Office, une suite bureautique conçue par la société chinoise Kingsoft. Alertés par Microsoft, Xiaomi et Kingsoft ont déployé des correctifs. Selon Microsoft, “Dirty stream” peut se retrouver dans le code de plusieurs autres applications Android. Microsoft encourage “les développeurs et les éditeurs à vérifier leurs applications à la recherche de problèmes similaires”.
Google a d’ailleurs mis à jour ses consignes de sécurité à destination des développeurs d’applications Android suite aux découvertes de Microsoft. Ces nouvelles consignes visent à prévenir l’apparition de vulnérabilités dans le fonctionnement du fournisseur de contenus des applications Android. Le géant de la Tech recommande d’” ignorer le nom de fichier “ fourni par l’application communicante et d’” utiliser à la place son propre identifiant unique généré en interne comme nom de fichier”. Pour Microsoft, la meilleure solution reste d’opter pour ” des noms générés aléatoirement, de sorte que même dans le cas où le contenu d’un flux entrant est mal formé, il n’altérera pas l’application “.
.
Source : Microsoft
Univers Freebox traite de l’actualité de Free et des télécoms et a toujours été un…
Free Mobile semble avoir revu à la baisse les délais de portabilité pour une partie…
Le fondateur de Free quitte finalement Proximus après des ambitions visiblement contrariées en Belgique. Deux…
Se faire rembourser ses frais d'activation Freebox n'est plus un luxe réservé aux abonnés étant…
Prime Video propose actuellement deux offres promotionnelles sur Crunchyroll, avec des abonnements accessibles dès 1,99…
Bonne nouvelle pour les abonnés Free Mobile équipés d’une Galaxy Watch : l’option eSIM Watch…