jeudi 2 février 2012

HTC propose un correctif pour résoudre une faille de sécurité


HTC lance un correctif afin de corriger une faille de sécurité importante dans certains smartphones Android. En effet, certaines applications malveillantes peuvent actuellement récupérer les mots de passe WiFi de certains appareils.

Le constructeur a annoncé mardi que des mises à jour et fixs ont déjà été installés automatiquement. Certains utilisateurs devront cependant l'installer manuellement. Le soft pour l'installation manuelle sera disponible dans le courant de la semaine prochaine.

Cette faille a été découverte par Chris Hessing, un collègue de Bret Jordanie (chercheur en sécurité) au sein du groupe Open1x.
Les téléphones concernés sont le :
  • HTC Desire HD
  • HTC Droid Incredible, 
  • HTC Thunderbolt 4G, 
  • HTC Sensation, 
  • HTC Desire S, 
  • HTC Evo et 3D !
Jordan a publié ses trouvailles ce mercredi une fois que HTC et Google ont eu le temps de réparer ce souci. Lui et Chris les avaient déjà contacté en septembre dernier.
"There is an issue un certain HTC builds of Android that can expose the user's 802.1X Wi-FI credentials to any program with basic Wi-Fi permissions".
"When this is paired with the internet access permissions, which most applications have, an application could easily send all stored Wi-Fi network credentials (user names, passwords, and SSID information) to a remote server."
Traduction :

"Il y a un souci sur certaines versions Android sur HTC qui peuvent exposer l'utilisateur des possesseurs des Wi-Fi 802.1x au niveau des permissions Wi-Fi pour certains programmes."

"Quand la connection est établie avec les permissions d'accès internet, nécessaires dans la plupart des aplications, ces applications peuvent envoyer facilement les données stockées (nom, password, informations SSID) à un serveur distant."

Jordan a aussi noté que cette vulnérabilité pouvait être utilisée de façon ciblée sur une entreprise, si les informations SSID diffusent des informations sur l'entreprise concernée. Il a cependant indiqué que le problème était désormais sous contrôle.

Jordan ajoute aussi "Google et HTC ont été très réactifs quant à ce souci et à sa résolution (..) Google a réalisé des changements sur le code Android pour aider à une meilleure protection des informations, et HTC a réalisé des mises à jour pour les smartphones qui pouvaient les recevoir, et un fix manuel pour ceux qui ne pouvaient pas."

Par la suite, Google a scanné toutes les applications du market afin de vérifier qu'aucune n'exploitait cette faille, selon Jordan.

La plupart des smartphones HTC avait aussi une faille critique qui a été fixée en octobre dernier. Dans celle-ci, les outils de log dans l'interface HTC Sense étaient exposés à un souci similaire, ainsi que les appels et les sauvegardes de SMS...

Flow.

Source: ZDnet