Que les utilisateurs de smartphones fonctionnant sous Android via Chrome se méfient. Un spécialiste du piratage a découvert qu’il est possible de pirater facilement à distance ces terminaux.
La vulnérabilité des terminaux fonctionnant sous Android et Chrome
Lors du concours organisé par MobilePwn2Own pendant la conférence PacSec à Tokyo un spécialiste du piratage a pu prouver l’existence d’une faille critique au sein du système Android ou plus précisément sur Google Chrome, le navigateur internet du système.
Le concours a été organisé afin de découvrir les éventuelles failles de sécurité pouvant être exploitées par les pirates durant leurs actes malveillants. Cette fois, c’est Guang Gong, un expert dans le domaine et travaillant pour la société Quihoo 360 qui a révélé l’existence de la brèche de sécurité dans Google Chrome.
Une brèche de Java Script
Il a réalisé l’expérience sur son propre téléphone, un Nexus 6 équipé du dernier Android 6.0 alias Marshmallow, mais elle peut également se faire sur les autres terminaux de connexion fonctionnant sous Android. En fait, le pirate qui se sert de cette faille peut installer sur l’appareil mobile une application malveillante sans que l’utilisateur ne s’aperçoive de rien. Pour cette expérience, l’expert a choisi arbitrairement l’application BMX Bike.
Ce qui étonne les spécialistes de la sécurité informatique dans ce cas, c’est que Guang Gong n’a nullement eu besoin de recourir à d’autres failles que celle existant sur le moteur JavaScript v8 de Chrome pour contrôler à distance le smartphone comme tel est le cas d’habitude. Ainsi, l’organisateur du concours, DragosRui n’a pu que saluer l’exploit en reconnaissant qu’il s’agit bien d’un one-shot c’est-à-dire d’une attaque faite en une seule traite. En effet, les hackers ont l’habitude d’exploiter simultanément diverses failles pour pouvoir contrôler un appareil et installer à distances des applications tierces.
Le fait donc que la faille se trouve dans le moteur JavaScript la rend très aisée à exploiter. Pour cela, il suffit de tromper l’utilisateur et de l’attirer à cliquer sur un lien conduisant vers un site malveillant. A partir de là, la faille permet l’enclenchement des actions à distance pour parvenir à l’installation d’un logiciel sans que l’utilisateur puisse réagir. La brèche facilite également l’obtention des droits root, permettant à l’application d’effectuer d’autres actions à l’insu de l’utilisateur.
Les smatphones sous Android très souvent atteints
Pourtant, pas plus tard que cette année, plus de 950 millions de terminaux Android partant de la version 2.2 du système jusqu’à l’Android 5.x Lolliop ont déjà fait l’objet d’autre vulnérabilité. Le géant du net a pu, en 48 h seulement, proposer un correctif à ses utilisateurs. Pour cette fois, on se demande dans combien de temps va-t-il offrir un patch fiable malgré le fait que celle-ci soit moins dangereuse que la première. Quoi qu’il en soit, la firme de MountainView propose aux utilisateurs de se servir d’un autre navigateur en attendant que Google Chrome soit mis à jour. Effectivement, au contraire de la plateforme comme iOS, on peut installer Firefox sans recourir à JavaScript v8 livrée avec Chrome. Le conseil est valable pour toutes les versions Android dans lesquelles Chrome existe.
