• Rechercher
Accueil ► News ► Une faille Android rend les pirates indécelables

Une faille Android rend les pirates indécelables

Les équipes de la sécurité d’IBM ont dévoilé une faille baptisée CVE-2014-3153 qui a la faculté de s’octroyer les pleins pouvoirs sur vos appareils. Pire, elle est capable de se retrouver dans une application du Play Store sans éveiller les soupçons…

Les failles de sécurités sur nos appareils mobiles paraissent sans fin. Après vous avoir parlé de Stagefright, voilà la faille CVE-2015-3153 qui pointe le bout de son nez. Deux chercheurs de la division sécurité chez IBM Or Peles et Roee Hay ont dévoilé lors de la conférence de sécurité  à la EEUU.

CVE-2014-3153 : “une classe pour les dominer toutes”

Telle est la philosophie de cette faille. Le CVE-2014-3153 est un petit code qui peut être inclus dans une application. Aussi surprenant que cela puisse paraître, ladite application ne demande aucune autorisation qui pourrait mettre la puce à l’oreille au plus méfiant d’entre nous. Ce fameux code, une fois exécuté, permet d’élever les droits du pirate. C’est ce qui fait la dangerosité de la faille CVE-2014-3153, puisqu’une application détenant ce code peut être soumise au Play Store et passer sous les radars de la surveillance de Google.

CVE-2014-3153
La faille peut se cacher dans une application anodine et passer sous les radars du Play Store, car elle ne demande aucun droit particulier.

Une fois installée (par le biais d’un jeu ou d’une application) et activée celle-ci donne le contrôle total de l’appareil. La vidéo montre ci-dessous montre la mise en oeuvre et comment il est possible par exemple de changer une application Facebook par une factice. Le but : récupérer les identifiants de la victime.

[youtube id=”VekzwVdwqIY”]

La faille CVE-2014-3153 touche les appareils à partir d’Android 4.3 jusqu’à Android 6 Marshmallow, soit la moitié des appareils dans le monde. Bien que la démonstration montre grossièrement l’activation du code malicieux, dans les faits celui-ci se fait de manière transparente pour l’utilisateur. IBM a bien entendu prévenu les équipes de Google qui ont déjà lancé une série de patchs.

Espérons qu’il en soit de même pour les constructeurs et les opérateurs, pour ne pas laisser nos appareils vulnérables. Vous trouverez plus d’informations sur le blog de Trend Micro ou sur Usenix.org.

Source :  National Vulnerability Database


Auteur
Mathieu Dos Santos

Fan de mobilité et de notre petit Android, j'aime vous faire partager les news, tests et débats. Mon but susciter l'échange.

Retrouvez-moi sur Twitter @mathdossantos

Excellente lecture en notre compagnie sur AndroidMT !

Tous les articles
Auteur Mathieu Dos Santos