L'application Gmail victime d'une faille préoccupante

Plusieurs chercheurs de l’Université de Californie ont publié leur récente découverte d’une vulnérabilité dans plusieurs applications mobiles, dont Gmail. La faille a déjà fait l’objet d’une démonstration en vidéo sur Android, mais fonctionnerait également sur iOS et Windows Phone, selon ses rapporteurs.

La démonstration publiée par les chercheurs montre tout d’abord que si la vulnérabilité existe bien dans les applications concernées, elle ne peut être exploitée sans l’installation préalable d’une autre application, comme un fond d’écran, contenant un code malveillant. Ce code permettra à une personne distante d’accéder à tous les processus présents en mémoire, sans disposer des droits requis. Ainsi, les données de certaines applications peuvent être lues, comme celle de Gmail, mais aussi, plus grave, de H&R Block ou la Chase Bank. Le taux de réussite de l’attaque sur Android pourrait atteindre 92%.

« Nous savons que l’utilisateur est sur son application bancaire, et lorsqu’il s’identifie, nous injectons un écran identique de connexion », explique Qi Alfred Chen. Cela permet par exemple de voler les données de connexion d’un utilisateur. Pour l’heure, la meilleure manière de se protéger contre cette vulnérabilité est d’éviter l’installation d’applications dont la provenance n’est pas connue avec certitude, et de surveiller que ses applications n’ont pas des droits trop élevés dont elles n’auraient pas besoin.

Démonstration de la faille sous Android

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire