Lu aujourd’hui ( le 30 juin 2014 ) sur Macbidouille :
Des chercheurs en sécurité chez IBM ont découvert une faille de sécurité sur le système d’exploitation Android.
Potentiellement très critique, elle touche à une zone de stockage très sensible — l’Android KeyStore — la zone contenant les clés de chiffrement pour un tas de modules comme par exemple le code PIN, les informations bancaires, les accès VPN, le code de dévérouillage du téléphone …
L’article sur http://securityintelligence.com/ explique que cette faille est exploitable grâce à un buffet overflow.
To Keep Things Simple, Buffers Are Always Larger Than Needed
pour l’anecdote les auteurs ont cité les premières lignes du fichier vulnérable; ce sont des commentaires visible par les develloppeurs :
/* KeyStore is a secured storage for key-value pairs. In this implementation, * each file stores one key-value pair. Keys are encoded in file names, and * values are encrypted with checksums. The encryption key is protected by a * user-defined password. To keep things simple, buffers are always larger than * the maximum space we needed, so boundary checks on buffers are omitted. */
Il est envisageable que des personnes malveillantes réussissent à éxécuter du code sur le terminal pour récupérer les données sensibles.
Dans d’autres scénarios, une application ayant accès au KeyStore pourrait générer des clés et signer des transactions sans que le propriétaire de la machine ne s’en aperçoive.
Les services ne stockants pas les mots de passe (comme l’accès à vos comptes en banque) ne sont pas menacés.
Cette faille, exploitable grâce à un buffer overflow, semble avoir été corrigé sur la version 4.4+ (KitKat) d’Android mais pas sur les version précédentes, le parc touché est donc phénoménal.
Participer à cet article :