Microsoft alerte au sujet d’une faille permet à une app vérolée de voler des données et de prendre le contrôle d’une application saine. Cette faille concerne des milliards de smartphones.
Nommée “Dirty stream”, cette faille découverte par les chercheurs de Microsoft, permet à une application malveillante d’entrer en contact et d’infiltrer certaines applications légitimes. La faille se trouve dans le système de communication des applications sur Android. Ce système agit comme intermédiaire et facilite le partage et l’accès sécurisés aux données entre différentes applications et services et comprend un système d’autorisations. Lorsque ce dernier est mal configuré, ces autorisations permettent de contourner les mécanismes de sécurité du système d’exploitation. Comme l’explique Microsoft, une ” mauvaise implémentation “ du fournisseur ” peut introduire des vulnérabilités qui pourraient permettre de contourner les restrictions de lecture/écriture dans le répertoire personnel d’une application “.
Le rapport de Microsoft indique que la faille laisse le hacker ” écraser des fichiers dans le répertoire personnel de l’application vulnérable “. Une fois que c’est fait, l’application malveillante est capable d’exécuter arbitrairement du code et d’obtenir « un contrôle total sur le comportement d’une application ». Par ailleurs, le pirate peut s’octroyer ” un accès aux comptes de l’utilisateur et aux données sensibles “ stockées sur le smartphone.
Plusieurs applications cumulant plus de quatre milliards de téléchargements sur la Play Store ont été identifiées par Microsoft. On retrouve File Manager, le gestionnaire de fichiers de Xiaomi, et WPS Office, une suite bureautique conçue par la société chinoise Kingsoft. Alertés par Microsoft, Xiaomi et Kingsoft ont déployé des correctifs. Selon Microsoft, “Dirty stream” peut se retrouver dans le code de plusieurs autres applications Android. Microsoft encourage “les développeurs et les éditeurs à vérifier leurs applications à la recherche de problèmes similaires”.
Google a d’ailleurs mis à jour ses consignes de sécurité à destination des développeurs d’applications Android suite aux découvertes de Microsoft. Ces nouvelles consignes visent à prévenir l’apparition de vulnérabilités dans le fonctionnement du fournisseur de contenus des applications Android. Le géant de la Tech recommande d’” ignorer le nom de fichier “ fourni par l’application communicante et d’” utiliser à la place son propre identifiant unique généré en interne comme nom de fichier”. Pour Microsoft, la meilleure solution reste d’opter pour ” des noms générés aléatoirement, de sorte que même dans le cas où le contenu d’un flux entrant est mal formé, il n’altérera pas l’application “.
.
Source : Microsoft
Nouveau numéro d votre magazine hebdomadaire “Totalement Fibrés” , en direct tous les vendredi à…
Jouez entre amis ou affrontez des aventures aux défis redoutables avec la sélection Prime Gaming…
Orange lance sa Black Week pour ses abonnés Livebox, de nombreux contenus en VOD sont…
L'opérateur continue d'enrichir son offre de feature phone à petit prix avec un mobile proposé…
Les abonnés Orange peuvent enfin souscrire à l'ensemble des offres Unlimited ou Unlimited+ de DAZN…
Face aux intempéries, les réseaux de plusieurs opérateurs dont Free sont touchés par des pannes…