Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Une importante faille 0-day dans Chrome pour Android

Mieux vaut utiliser autre chose pour l'instant
Mobilité 3 min
Une importante faille 0-day dans Chrome pour Android

Lors de l’évènement MobilePwn2Own de la conférence PacSec qui se tenait à Tokyo, un chercheur a réussi à prendre le contrôle d’un appareil sous Android 6.0 en exploitant une unique faille. Le découvreur a indiqué que la brèche, qui s’appuie sur JavaScript, peut facilement être exploitée sur tout type d’appareil.

En fin de semaine dernière avait lieu la conférence PacSec à Tokyo. À cette occasion, des chercheurs étaient réunis pour l’évènement MobilePwn2Own qui, comme pour Pwn2Own, a pour but de chercher et exploiter des failles pour faire la démonstration d’une prise de contrôle d’appareil. La différence avec l’édition « classique » est évidemment qu’il concerne ici les plateformes mobiles. Et malheureusement pour Android, une importante faille dans Chrome permet d’exécuter du code arbitraire à distance.

Une faille 0-day dans la machine virtuelle JavaScript

Guang Gong, chercheur en sécurité pour la société Quihoo 360, a particulièrement marqué les esprits en prenant le contrôle d’un Nexus 6 de Google, équipé du dernier Android 6.0 alias Marshmallow. Il a pu installer à distance une application choisie arbitrairement (en l’occurrence BMX Bike), donc sans toucher à l’appareil. Pour ce faire, il s’est servi d’une faille résidant dans Chrome, plus particulièrement dans son moteur Javascript.

Comme l’indique à The Register l’organisateur de la conférence PacSec, Dragos Ruiu, la démonstration réalisée par Gong était remarquable : « Le plus impressionnant avec cette exploitation est qu’elle se réalise d’une traite. La plupart des gens aujourd’hui doivent exploiter plusieurs failles de sécurité pour obtenir un accès avec privilège et charger des applications sans interactions ». Toujours selon le responsable, la faille peut très facilement être adaptée pour tous les appareils Android où une version récente de Chrome (la dernière est vulnérable) est installée.

Le fait que la vulnérabilité réside dans le moteur JavaScript rend la faille évidemment très facile à exploiter. Il suffit de leurrer l’utilisateur et de l’amener à cliquer sur un lien menant vers un site malveillant. De là, la brèche va permettre de déclencher des actions à distance, jusqu’à l’installation d’une application sans que l’utilisateur ait son mot à dire. La faille permet également d’obtenir les droits root, ce qui permet à l’application d’être aussi malveillante qu’elle le souhaite,

On ne sait cependant pas exactement comment le chercheur s’y prend car s’il a fait la démonstration de sa technique, les détails n’ont pas été publiés et sont réservés aux organisateurs du concours, ainsi qu’à Google bien sûr.

Utiliser un autre navigateur en attendant que Chrome soit mis à jour

Un ingénieur de la firme de Mountain View était sur place, et on peut donc espérer qu’un correctif sera développé rapidement. Même si la faille est critique et particulièrement sérieuse, sa dangerosité reste moindre que celle de Stagefright. Dans les deux cas, les conséquences peuvent être catastrophiques, mais on parle ici d’une faille résidant dans un élément qui peut facilement être mis à jour, puisqu’il appartient à une application dépendant de la boutique Google Play.

En attendant, la solution la plus simple est d’utiliser un autre navigateur. Contrairement à une plateforme comme iOS, les butineurs peuvent embarquer leurs propres moteurs JavaScript et de rendu. Il est donc possible par exemple d’installer Firefox et de ne plus faire appel à la machine virtuelle JavaScript V8 livrée avec Chrome (et en fait souvent préinstallée sur les appareils Android). Cette recommandation est valable pour toutes les versions d’Android dès lors que Chrome est présent.

53 commentaires
Avatar de Soltek INpactien
Avatar de SoltekSoltek- 16/11/15 à 15:35:16

Être root via un simple lien ?
:mdr:

Avatar de Aloyse57 Abonné
Avatar de Aloyse57Aloyse57- 16/11/15 à 15:42:21

Chrome, le nouvel IE6 : compatible avec lui-même, gruyère de sécurité, omniprésent, hégémonique.
C'est là qu'on voit que les navigateurs sont créés par des humains : les mêmes fautes sont répétées à conditions de départ identiques. Une autre preuve que l'entropie s'applique au développement de logiciels.

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 16/11/15 à 15:42:34

Chrome tourne avec quel utilisateur sous android :transpi: permettre une élévation de privilège c'est pas du tout normal/possible... sauf s'il tourne avec des droits élevés.

Avatar de coucou_lo_coucou_paloma INpactien
Avatar de coucou_lo_coucou_palomacoucou_lo_coucou_paloma- 16/11/15 à 15:46:51

Depuis qu'il a de très gros freezes chez moi, je ne l'utilise plus.
Mais j'avoue bel exploit du chercheur.

Avatar de anonyme_17187f2fe30034ef77b37a104608a3ce INpactien

Tu sembles oublier pourquoi Chrome a été créé.... tout comme IE a été créé....
Historiquement, IE a été conçu pour prendre la main sur Internet après le raté MSN. Chrome, c'est la même chose pour enfermer et forcer à faire transiter toutes les données de navigation par un outil Google et mieux les collecter !

Ceci explique cela....

Avatar de 0xFlame INpactien
Avatar de 0xFlame0xFlame- 16/11/15 à 15:47:37

ouuh, c'est le genre d'infos a faire tourner auprès des fans de Chrome réfractaire de Firefox ça :D

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 16/11/15 à 15:51:32

0xFlame a écrit :

ouuh, c'est le genre d'infos a faire tourner auprès des fans de Chrome réfractaire de Firefox ça :D

J'ai beau utiliser Firefox sous Android, il y a quand même des bugs génants: les pages qui ne se chargent pas quand Firefox n'est pas en avant-plan, parfois obliger de "fermer" l'application qui ne charge plus rien, les pages qui se rechargent si tu passes firefox en arrière plan et que tu reviens dessus ensuite... bref, pas parfais encore.

Avatar de Flyman81 INpactien
Avatar de Flyman81Flyman81- 16/11/15 à 15:51:55

Je suis passé récemment à Firefox (avec Duckduckgo en moteur de recherche) et je ne le regrette pas :)

Avatar de coket INpactien
Avatar de coketcoket- 16/11/15 à 15:54:53

de toutes façons, utiliser java...

En plus, je suppose que le hacker qui utiliserait la faille aurait accès à tout si je comprend bien, y compris les informations biométriques?

Avatar de 0xFlame INpactien
Avatar de 0xFlame0xFlame- 16/11/15 à 16:01:39

j'ai jamais dit que Firefox étais parfait, j'ai juste dit que y'a moyen d’embêter quelques fanas, ça aurait été Firefox, j'aurais dit la même chose au profit de Chrome, oui j'aime bien embêter les gens qui sacralise un logiciel ou un constructeur au détriment d'un autre.

Il n'est plus possible de commenter cette actualité.
Page 1 / 6