Breaking

lundi 11 décembre 2017

Une faille sur les smartphones ANDROID permet de vous enregistrer à votre insu


Si votre smartphone fait partie des près de 80% d'appareils Android concernés par cette faille, veillez à n'utiliser que des applications certifiées, sous peine de mettre vos informations personnelles en péril. Des chercheurs en sécurité de MRW Labs ont récemment mis au jour une vulnérabilité dans le système d'exploitation pour mobiles et tablettes de Google leur permettant d'accéder au micro et à l'affichage de l'écran sans que l'utilisateur ne le remarque.
La faille résulte d'une modification dans les autorisations de MediaProjection, un des programmes informatiques les plus anciens de l'univers Android qui permet aux développeurs d'enregistrer l'écran et l'audio d'un appareil. Dans les premières versions d'Android, ces derniers devaient bénéficier de privilèges et d'un accès spécial au téléphone pour l'utiliser. Mais depuis Android 5.0, MediaProjection est accessible à tous les développeurs sur une simple autorisation de l'utilisateur d'un smartphone. 
Un milliard et demi d'appareils concernés
 Pour obtenir le sésame, une application doit générer une fenêtre pop-up demandant l'accord explicite de l'utilisateur. Cette sécurité est facilement contournable. Les pirates peuvent intercepter l'apparition de la fenêtre et modifier le message s'affichant sur l'écran pour ne pas attirer l'attention de l'utilisateur qui donne ainsi, sans le savoir, l'accès à MediaProjection à une application malveillante.

Pour y parvenir, il leur suffit d’utiliser le service MediaProjection, explique MRW Labs. Et cela permet alors à des personnes mal intentionnées d’accéder aux ressources de tout smartphone tournant sous Android 5.0 et supérieur sans avoir besoin de privilèges administrateur. Pour autant, l’utilisateur ne peut ignorer que quelque chose d’étrange se passe avec son smartphone, car un message apparaît alors à l’écran.



Cependant, comme le note MRW Labs, il est facile pour un pirate de falsifier le message d’alerte et de tromper ainsi l’utilisateur qui pense voir apparaître une fenêtre classique et ne se doute pas qu’il valide l’accès à ses données.



Une seule façon de se mettre à l’abri reste donc de mettre la mise à jour Android 8.0, qui n’est pour le moment installée que sur 0,3 % des appareils sous Android. Cela s’explique aussi par le fait que le déploiement n’a pas été opéré par tous les constructeurs jusqu’à présent et que certains smartphones ou tablettes trop anciens ne peuvent plus accepter les dernières versions du système d’exploitation.

Alors, il faut revenir aux fondamentaux : ne pas télécharger d’applications dont vous ne pouvez certifier l’origine et ne pas cliquer sur les messages qui apparaissent sans qu’ils ne soient liés à une action que vous avez réalisée !


Aucun commentaire:

Enregistrer un commentaire