Android : la faille des signatures d’application est toujours là !

Alors que Google a déjà sorti un correctif pour la faille des signatures d’application qui touche 99% des appareils sous Android, une nouvelle faille du même genre vient d’être publiée.

Si le dicton un train peut en cacher un autre est vrai, il en va de même avec les failles de sécurité. C’est ainsi que Google vient à peine de colmater une faille concernant les signatures d’application qu’une autre faille identique voit le jour. À la différence de la faille initiale, cette nouvelle faille est dans Java, mais permet aussi de contourner le système des signatures d’applications.

Si Bluebox était à l’origine de la révélation de la première faille, c’est par Android Security Squad, une équipe de chercheurs en sécurité chinois, qui vient d’expliquer cette nouvelle faille, une faille différente pour des effets identiques.

Le problème se situe au niveau de Dalvik, l’interprétateur Java d’Android. Ce serait le système de compression des apk qui serait en cause… Le vérificateur cryptographique d’Android valide la première version de tout fichier en exemplaires multiples dans une archive apk, alors que l’installeur extrait et déploie la dernière version. Concrètement, un apk qui contient deux fichiers avec le même nom, ce qui est possible, si le premier fichier est « propre » et le second « corrompu », Android ne voit rien !

Google n’a pour le moment pas réagi. Mais si le géant de l’internet a réagi rapidement pour la faille révélée par Bluebox, il en fera certainement de même pour la faille dévoilée par Android Security Squad.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentGoogle Street View : la Tour Eiffel visitée comme jamais auparavant
Article suivantTechnologie : bientôt des smartphones spécifiques pour les aveugles ?

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here