Lue 1055 fois







Android : Google troque-t-il la sécurité contre le confort ?

Sécurité : Pour un conférencier de la Defcon 21, la fonctionnalité "weblogin" serait corruptible, et pas qu'un peu : tout un système applicatif pourrait être compromis en exploitant la bonne faille.


Un chercheur en sécurité s'est amusé à explorer les liens faibles au sein de l'écosystème Android, et a exposé ses découvertes, assez intéressantes, au cours de la conférence Defcon 21, rapportaient hier nos confrères de Dark Reading.


Une seule fonctionnalité permettrait de prendre le contrôle de nombreuses applications professionnelles, et de passer outre la vérification à deux facteurs.


Craig Young, spécialiste de la sécurité chez Tripwire, explique qu'il peut "compromettre entièrement les Google Apps" avec une seule fonctionnalité : "weblogin", qui permet aux utilisateurs d'Android de s'identifier une fois pour toute sur tous les services basés sur l'authentification Google.


Gare au mobile corrompu


Pour le chercheur, Google se livre là à un échange discutable : moins de sécurité contre un peu plus de confort. Plutôt que d'utiliser un système de mots de passe à chaque nouvelle application accédée, le géant utilise des cookies. Et si un intrus peut accéder à la console de contrôle du domaine, il peut faire des ravages.


Une fois la faille trouvée, un hacker peut remettre les mots de passe à zéro, télécharger les fichiers de Drive, désactiver la double-authentification, modifier les rôles d'utilisateurs et créer des listes de diffusion par mail, y compris pour distribuer spams et malwares.


Le principal problème, c'est qu'un appareil Android déjà identifié et utilisant ces tokens de connexion pourra offrir un accès complet à cette console. Si un administrateur système ayant un accès à la console de contrôle du domaine voit son mobile compromis par une application vérolée par exemple, il ne faudra que peu de temps à une personne mal intentionnée pour prendre un contrôle étendu sur la suite professionnelle.


"Windows de la mobilité"


L'image n'est pas très flatteuse pour Android, d'autant qu'une nouvelle étude Trend Micro montre que le nombre de malwares sur Android a bondi de 40% en quelques mois. On connait les limites - géographiques et liées aux canaux de distribution des applications - de ce genre d'études, et on sait parfaitement quels intérêts elles servent.


Mais Android semble confirmer, mois après mois, son statut de "Windows de la mobilité" quand il s'agit de sécurité. Pas forcément bon pour l'image. Encore moins bon quand des affaires médiatiques explosent, comme la découverte d'une faille Master Key touchant potentiellement 99% des appareils Android.


Source: zdnet