Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

La boulette sécurité d’Android

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur La boulette sécurité d’Android

Google Android

Trois universitaires allemands publient une étude sur ce qui semble être une vulnérabilité béante du protocole d’authentification d’Android pour les services Google

Selon les chercheurs de l’université d’Ulm la faute serait toutefois partagée entre Google et les développeurs d’applications. En effet la méthode d’authentification ClientLogin, utilisée pour accéder à tous les services Google via leurs APIs, exige des applications qu’elles transmettent le login et mot de passe de l’utilisateur afin de récupérer un jeton d’authentification. Celui-ci sera alors valable pour un maximum de deux semaines et permettra à l’utilisateur d’accéder aux services en ligne sans soumettre à nouveau ses identifiants. Toute cette partie de l’opération se déroule sur HTTPS, il n’y rien à redire.

En revanche lorsque une application souhaite utiliser par la suite ce fameux jeton pour accéder à un service Google, rien ne l’oblige à le faire via HTTPS. Et en pratique, le jeton est souvent envoyé en clair. Et puisque ce dernier n’est pas lié à un terminal ou une adresse IP particulière, n’importe qui capable de l’intercepter (sur un réseau WiFi public par exemple) pourra alors se connecter immédiatement aux services Google sous l’identité de la victime.

D’après les chercheurs, les services d’agenda, de carnet d’adresses et de galerie d’image (Picasa) seraient concernés par cette boulette. La dernière version d’Android (2.3.4) aurait résolu le problème pour l’agenda et le carnet d’adresse, mais elle ne serait pas encore largement répandue parmi les mobiles sous Android.

Au delà de ce que Google peut faire pour réduire ce problème (en obligeant par exemple ses les jetons d’authentification à être transmis via SSL. C’est d’ailleurs prévu), les chercheurs conseillent aux développeurs d’applications mobiles pour Android de préférer une technologie d’authentification telle oAuth, moins vulnérable à ce type d’attaque.

Plus d’information : Lire l’étude de l’université d’Ulm.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.