99,7% de risque de fuites de données privées sur Android

1
61

Selon une analyse de l’université d’Ulm en Allemagne, la majeure partie des appareils mobiles sous Android serait susceptible d’être piratée très facilement. Une brèche du système de sécurisation des services en ligne de Google permettrait ainsi d’accéder aux données privées des utilisateurs.

Nouveau coup dur pour Android ? Des chercheurs allemands de l’université d’Ulm ont découvert une faille dans le système d’exploitation mobile de Google. La plupart des terminaux Android (2.3.3 et précédents) seraient vulnérables à 99,7% aux attaques permettant de voler les données d’identifications des utilisateurs.

Le problème serait du à une brèche dans le protocole d’identification « ClientLogin », utilisé pour accéder aux différents services de Google, tels que Gmail, Contacts, Calendar ou Picasa.

Techniquement, la faille provient de l’authentification « AuthToken ». Lors de la connexion aux services en ligne, l’accès est alors déverrouillé à travers un token provisoire d’une durée de 14 jours.

Problème, ce token serait envoyé vers les serveurs de Google sans cryptage, ce qui laisse la porte grande ouverte aux pirates qui souhaiteraient exploiter des comptes Google sans autorisation.

Problème des hot-spots non sécurisés

D’après l’analyse menée par l’université allemande, c’est au cours d’une connexion à des réseaux WiFi non sécurisés que les pirates peuvent exploiter la brèche de l’OS mobile. Au final, les données privées présentes sur le compte Google seraient exposées sans restriction aucune.

En bon donneur de leçon, l’université d’Ulm appelle Google à réduire la durée de validité d’« AuthToken » ainsi qu’à rejeter systématiquement toutes requêtes « ClientLogin » émanant de connexion http non sécurisées.

Le géant américain vient de résoudre le problème sur les applications Contacts et Calendar sous Android 2.3.4, mais des risques subsisteraient toujours en ce qui concerne Picasa Web Albums.

Google serait d’ores et déjà sur le coup, mais il semblerait que la faille ne se limite pas à ses services. En effet, de nombreuses applications tierces passent par ce même protocole « ClientLogin ». En conséquence, les chercheurs conseillent de privilégier le HTTPS par rapport au http, afin de disposer d’un protocole d’identification plus fiable.

Sans préciser de délais, le moteur de recherche promet une correction de son OS mobile pour très bientôt.

Source : businessMOBILE.fr

1 COMMENTAIRE

  1. cela tombe mal pour google le moment est critique et la concurrence est rude une bataille qui lui fera peut être perdre la guerre des OS. je lisait précédemment que google était en train de perdre des contrat face a microsoft sur les appareil Ericsson notamment.
    http://scrooty444.blogspot.com/

Les commentaires sont fermés.