Bluebox Labs de Bluebox Security a découvert un bogue Android existant depuis la version Android Donut 1.6 publiée en 2009. Android est un projet open source. Cela donne la possibilité de développer des applications et de les vendre sur Play Store ou sur un App Store tiers. Bien que Google veille à ce que les applications soient sûres pour les utilisateurs lors de leur signature numérique, vous pouvez toutefois facilement compromettre la sécurité de votre appareil lorsque vous essayez de télécharger des applications depuis des magasins d'applications tiers.
Voyons comment cela se produit réellement et comment cela peut conduire à un piratage de votre appareil.
Vulnérabilité Android:
Les applications Android utilisent des signatures cryptographiques que le système enregistre lors de l'installation de l'application. Les autres mises à jour de l'application doivent avoir les mêmes signatures cryptographiques. Les pirates peuvent utiliser l'application avec ces signatures cryptographiques légitimes, modifier l'application en ajoutant un code malveillant, puis le distribuer à l'aide de magasins d'applications tiers non fiables. Lorsque l'utilisateur installe la nouvelle version de l'application, celle-ci fonctionne comme un cheval de Troie (en prétextant ce qu'elle n'est pas) et en fonction des intentions des pirates informatiques et de l'autorisation accordée à l'application par le système Android, l'application peut prendre le contrôle de nombreux logiciels. zones critiques du système.
Ce qui peut être piraté ou compromis:
Selon les chercheurs de Bluebox Security, les pirates informatiques peuvent jailbreaker l'appareil, accéder à toutes les fonctionnalités du système, créer un botnet pouvant créer n'importe quelle application légitime dans un cheval de Troie. En outre, ces applications de Troie ou malveillantes peuvent récupérer des mots de passe, des informations de compte, des informations de carte de crédit et de débit à partir de l'appareil, prendre le contrôle de votre téléphone, de vos SMS, de votre courrier électronique ou de votre matériel, comme une caméra, des fonctionnalités de microphone et même du système d'exploitation.
VOIR AUSSI: 5 meilleures photos, vidéos et applications de masquage de fichiers pour Android
Qui sont concernés par cette vulnérabilité:
Plus de 900 millions d'appareils Android (tablettes et téléphones) fonctionnant sous Android version 1.6 ou ultérieure, y compris Jelly Bean. Le seul appareil qui a corrigé ce bogue est le Samsung Galaxy S4 selon GSMarena.
Comment Google traite-t-il ce problème:
Google a reconnu que ses développeurs et les fabricants d’appareils étaient conscients de ce problème et qu’un correctif résoudra ce problème dans les prochaines mises à jour logicielles.
Google a également confirmé qu'aucune application existante sur Google Play n'exploiterait cette vulnérabilité. Google utilise des mesures de précaution et de sécurité extrêmes pour gérer ce type d'applications sur Play Store.
Mieux vaut prévenir que guérir, comment faire preuve de prudence:
Puisque tous les appareils Android exécutant la version 1.6 ou ultérieure d'Android (à l'exception de Galaxy S4) présentent ce bogue, les utilisateurs doivent éviter de télécharger des applications provenant de magasins d'applications tiers non fiables offrant des applications gratuites / gratuites payantes ou gratuites. Bien que l’application puisse sembler sûre en fonction des signatures numériques, il est possible qu’un code malveillant soit intégré au code original.
Faites très attention lorsque vous effectuez des transactions en ligne à l'aide d'applications tierces. N'essayez jamais d'utiliser des informations de carte de crédit / carte de débit ou de compte avec des applications qui n'ont pas été installées depuis un magasin d'applications sécurisé digne de confiance.
Et enfin et surtout, installez une bonne application antivirus et décochez l'option d'installation de marchés inconnus dans la sécurité sous les paramètres système d'Android, essayez d'acheter des versions professionnelles plutôt que de compter sur des applications antivirus gratuites offrant davantage de fonctions de sécurité que sur les versions gratuites.
Continuez à rechercher une nouvelle mise à jour logicielle, tôt ou tard, le fabricant de l’appareil corrigera le bogue.
Courtoisie d'image: thehackernews
