Poll :

Votre avis sur le site

View results
View comments of this poll(41)
  Génial !(1550 votes)
  Bien(190 votes)
  Peut mieux faire(87 votes)
  Vraiment bof(122 votes)
  Avis neutre(74 votes)

Ad




Partners




Jmax-Hardware

mxdev.net

468 visiteur(s) en ligne

Les smartphones HTC atteints d'une vulnérabilité critiques

Caterogy : Appareils mobiles, written at 2011-10-06 12:00:02 by Troll.

Image: htc-logo.pngDes chercheurs ont découvert une sérieuse menace de sécurité sur plusieurs modèles de smartphones HTC sous Android. Cette porte dérobée (backdoor) ouvre aux applications installées l'accès à diverses informations privées et sensibles de l'utilisateur.

Cette fois, contrairement aux autres failles découvertes sur des smartphones Android comme celle du calendrier Android, l'OS n'est pas en cause mais plutôt l'outil "HTCLogger", introduit par HTC pour gérer la journalisation et traquer des bogues.

Les modèles touchés seraient le Evo 3D, Evo 4G ainsi que le Thunderbolt, via une récente mise à jour de leur système. Cependant, l'outil étant introduit par HTC dans une récente mise à jour, on peut s'attendre à ce que les futurs smartphones de la même marque comprennent le même programme et soient ainsi également vulnérables.

L'outil en cause, HTCLogger, collecterait, selon Justin Case et Artem Russakovskii, différentes informations, « beaucoup trop d'informations », sans les sécuriser. Ces informations, parmi lesquelles on peut citer la localisation GPS, les adresses e-mails des comptes configurés sur le téléphone, les numéros des contacts à qui ont été envoyés des SMS ou vers qui des appels ont été passés, seraient alors lisibles par n'importe quelle application disposant des droits "android.permission.INTERNET" (soit, en d'autres termes, l'accès à Internet). Or, le problème est bien là : ces droits, énormément d'applications les ont, c'est même tout à fait banal pour une application Android (accéder à Internet, rien d'étonnant sur un smartphone), n'importe quel développeur malveillant pourrait d'ores-et-déjà publier une application sur l'Android Market exploitant cette faille sans que les utilisateurs ne se doutent de rien.

La faille en question vient du fait que HTCLogger communique sur un port local de manière non sécurisée, l'application malveillante n'a alors qu'à établir une connexion à un port local pour se servir des informations journalisées.

Les chercheurs, qui affirment n'avoir reçu aucune "réponse réelle" de HTC après 5 jours ouvrables, recommandent la suppression immédiate du paquet /system/app/HtcLoggers.apk.

Démonstration (en anglais) de l'exploitation de la faille de sécurité en vidéo :

scoopeo    Partagez sur Yahoo! Mon Web 2.0  bookeet  pioche  Partagez sur del.icio.us  Partagez sur digg.com  Partagez sur furl.net  Add to Google spurl  simpy  Partagez sur netscape.com  Partagez sur StumbleUpon  tapemoi  Partagez sur Google Bookmarks  Partagez sur Technorati  Partagez sur blinklist  fuzz  nuouz  Partagez sur Newsvine  Partagez sur ma.gnolia 

Be the first who posts a comment ! !

See all news



Les commentaires on été désactivés.