Faille : les smartphones Android accessibles aux pirates

Une faille découverte dans le système d'exploitation mobile de Google permet d'accéder aux informations d'identification de l'utilisateur. C'est donc une porte ouverte aux fuites de données.

La sonnette d'alarme a été tirée par des experts en sécurité informatique de l'université d'Ulm en Allemagne. Plus de 99% des terminaux Android seraient victimes d'une faille permettant d'accéder aux informations d'identification de l'utilisateur, et donc à l'ensemble des données de l'OS mobile.

Présente dans les versions Android 2.3.3 et antérieures, elle proviendrait d'une implémentation non-sécurisée du protocole d'authentification ClientLogin, qui permet de gérer les accès aux applications Web de Google (Gmail, Calendar...). Les jetons d'authentification générés seraient en effet transmis de manière non-chiffrée, ce qui faciliterait leur lecture par un pirate, notamment lors d'une connexion réalisée par le biais d'un réseau Wi-fi public.

Google seraient en train de corriger la faille, notamment en réduisant la plage de validité de ses tokens et en mettant en place des règles sur le chiffrement des accès.




Google / Android