Cybersécurité : Android n'est pas au bout de ses peines

Les problèmes de sécurité pleuvent sur le système d'exploitation mobile Android. Le patch correctif de Google pour la faille Stagefright (révélée la semaine dernière) est insuffisant, et une autre vulnérabilité a été découverte qui laisse accéder des applications malveillantes aux données utilisateurs.

Partager
Cybersécurité : Android n'est pas au bout de ses peines

Mauvaise passe pour le système d'exploitation mobile Android en matière de sécurité. Une semaine après la sortie par Google d'un patch supposé corriger la faille de sécurité, baptisée Stagefright, qui menace 950 millions d'appareils utilisant son OS mobile, des chercheurs d'Exodus Intelligence ont annoncé jeudi 13 août avoir découvert que le patch en question, qui ne fait que 4 lignes de code, est inefficace.

Il ne corrige en effet qu'une partie des vulnérabilités et permet toujours à certains MMS, contenant notamment des fichiers vidéos spécifiques, de compromettre un système. Les chercheurs ont contacté l'équipe de Zimperium (une autre entreprise de cybersécurité) qui avait découvert Stagefright et travaillent avec eux à corriger le correctif. Un rebondissement qui souligne la complexité de la sécurisation d'un système d'exploitation comme Android, dont le nombre très élevé de versions différentes rend par ailleurs virtuellement impossible la dissémination du correctif sur l'ensemble du parc d'appareils concernés.

En parallèle, des chercheurs de l'entreprise de cybersécurité MWR Mabs ont découvert une vulnérabilité dans l'application Google Admin qui permet à des applications malveillantes de sortir de l'environnement clos (sandbox) dans lequel elles sont normalement confinées. Elles peuvent ainsi accéder au reste du système, y compris aux données de l'utilisateur. Aucun correctif n'est disponible pour le moment.

Si pour le moment ces failles ne sont a priori pas activement exploitées par des pirates, la probabilité peu élevée que la majorité des appareils touchés ne soient jamais protégée a de quoi inquiéter.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS