Certifi-gate : une nouvelle faille menace des millions d'appareils Android

Après la faille Stagefright, découverte il y a deux semaines par l'équipe de Zimperium, c'est autour d'une autre menace Android de se profiler à l'horizon. Là encore, il ne s'agit pas d'un malware, bien d'une faille de sécurité qui toucherait une bonne partie des smartphones Android. À l'aide d'une fausse application ou en envoyant simplement un SMS, un hacker pourrait prendre le contrôle total d'un smartphone.

Baptisée Certifi-gate, la faille en question vient d'être révélée à la conférence Black Hat de Las Vegas et a découverte par des chercheurs de Check Point. Elle touche tout type d'appareil Android, dans lequel sont intégrés des logiciels propres aux fabricants ou aux fournisseurs d'accès (et appelés mSRTs, pour mobile remote support tools). Ces applications leur permettent en théorie d'assurer le support du smartphone et disposent de privilèges élevés. En passant par ces mSRTs, l'équipe de Check Point a pu démontrer qu'il était possible de mettre en place de faux certificats et d'accéder au contenu de l'appareil. Les chercheurs ont ainsi créé une fausse application lampe-torche, qui ne requiert que des autorisations mineures, et qui permet une fois installée, de prendre intégralement le contrôle de l'appareil.

Encore plus gênant, peut-être : lors d'une seconde démonstration, Check Point a réussi à prendre le contrôle d'un appareil en lui envoyant simplement un petit message, un peu à l'instar de Stagefright qui se propage par simple MMS. Pas très rassurant. Néanmoins, l'équipe de chercheurs a informé Google et de nombreux fabricants comme Samsung, HTC ou LG et certains ont déjà résolu le problème. Selon Check Point, il resterait cependant encore plusieurs millions d'appareils non corrigés. La bonne nouvelle, c'est qu'une petite application créée par Check Point permet de vérifier si votre smartphone est concerné par cette vulnérabilité ou non (voir lien ci-dessous) et vous indique quoi faire en cas de déficience.

Télécharger Certifi-gate Scanner

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire