[ad_1]

Normalement, je ne couvre pas les vulnérabilités que l’utilisateur ne peut pas ou peu empêcher, mais deux nouvelles failles détaillées affectant des centaines de millions de Android, iOS et Pomme les produits méritent probablement des exceptions spéciales.

porte-clésLe premier est un bug zero-day dans iOS et OS X qui permet le vol des deux Porte-clés (système de gestion des mots de passe d’Apple) et les mots de passe des applications. La faille, d’abord révélée dans un document académique (PDF) publié par des chercheurs de Université de l’Indiana, Université de Pékin et le Institut de technologie de la Géorgieimplique une vulnérabilité dans les dernières versions du système d’exploitation d’Apple qui permet à une application dont le téléchargement est approuvé par l’Apple Store d’obtenir un accès non autorisé aux données sensibles d’autres applications.

« Plus précisément, nous avons constaté que les services d’interaction inter-applications, y compris le trousseau… peuvent être exploités… pour voler des informations confidentielles telles que les mots de passe pour iCloud, e-mail et banque, et le jeton secret d’Evernote », ont écrit les chercheurs.

L’équipe a déclaré qu’elle avait testé ses conclusions en contournant les contrôles de sécurité restrictifs de l’Apple Store et que ses applications d’attaque avaient été approuvées par l’App Store en janvier 2015. Selon les chercheurs, plus de 88 % des applications étaient « complètement exposées » à l’attaque.

La nouvelle de la recherche a été rapportée pour la première fois par Le registrequi a déclaré qu’Apple avait été initialement informé en octobre 2014 et qu’en février 2015, la société avait demandé aux chercheurs de suspendre la divulgation pendant six mois.

« L’équipe a pu effectuer un raid sur les informations d’identification bancaires de Google Chrome sur le dernier Mac OS X 10.10.3, en utilisant une application en bac à sable pour voler le trousseau du système et les jetons iCloud secrets, ainsi que les mots de passe des coffres-forts de mots de passe », The Register a écrit. « L’équipe de sécurité Chromium de Google a été plus réactive et a supprimé l’intégration du trousseau pour Chrome, notant qu’elle ne pouvait probablement pas être résolue au niveau de l’application. AgileBitspropriétaire d’un logiciel populaire 1Mot de passea déclaré qu’il ne pouvait pas trouver un moyen de parer les attaques ou de faire « travailler plus dur » le logiciel malveillant environ quatre mois après sa divulgation. »

Une histoire à 9to5mac.com suggère que le logiciel malveillant que les chercheurs ont créé pour exécuter leurs expériences ne peut pas accéder directement aux entrées de trousseau existantes, mais le fait indirectement en forçant les utilisateurs à se connecter manuellement, puis en capturant ces informations d’identification dans une entrée nouvellement créée.

« Pour l’instant, le meilleur conseil semble être d’être prudent dans le téléchargement d’applications de développeurs inconnus – même à partir des App Stores iOS et Mac – et d’être attentif à toute occasion où l’on vous demande de vous connecter manuellement alors que cette connexion est généralement effectuée par Keychain ”, 9to5’s Ben Lovejoy écrit.

DÉFAUT DU CLAVIER SAMSUNG

Séparément, les chercheurs d’une société de sécurité mobile Maintenant sécurisé ont révélé qu’ils avaient trouvé une grave vulnérabilité dans une application de clavier tierce qui est Pre installé sur plus de 600 millions d’appareils mobiles Samsung, y compris le récent Galaxie S6 — qui permet aux attaquants d’accéder à distance à des ressources telles que le GPS, l’appareil photo et le microphone, d’installer secrètement des applications malveillantes, d’écouter les messages entrants/sortants ou les appels vocaux, et d’accéder aux images et aux messages texte sur des appareils vulnérables.

La vulnérabilité dans ce cas réside dans une application appelée Clavier rapidequi selon le chercheur Ryan Welton fonctionne à partir d’un compte privilégié sur les appareils Samsung. La faille peut être exploitée si l’attaquant peut contrôler ou compromettre le réseau auquel l’appareil est connecté, tel qu’un point d’accès sans fil ou un réseau local.

« Cela signifie que le clavier a été signé avec la clé de signature privée de Samsung et s’exécute dans l’un des contextes les plus privilégiés de l’appareil, l’utilisateur système, qui est à un cran près d’être root », a écrit Welton dans un article de blog à propos de la faille, qui a été révélée pour la première fois à Chapeau noir Londres mardi, parallèlement à la publication du code de preuve de concept.

Welton a déclaré que NowSecure avait alerté Samsung en novembre 2014 et qu’à la fin du mois de mars, Samsung avait signalé un correctif aux opérateurs de téléphonie mobile pour Android 4.2 et versions ultérieures, mais avait demandé un report supplémentaire de trois mois pour la divulgation publique. L’équipe de sécurité Android de Google a été alertée en décembre 2014.

« Alors que Samsung a commencé à fournir un correctif aux opérateurs de réseaux mobiles au début de 2015, on ne sait pas si les opérateurs ont fourni le correctif aux appareils de leur réseau », a déclaré Welton. « En outre, il est difficile de déterminer combien d’utilisateurs d’appareils mobiles restent vulnérables, compte tenu des modèles d’appareils et du nombre d’opérateurs de réseau dans le monde. » NowSecure a publié une liste des appareils Samsung indexés par opérateur et leur statut de correctif individuel.

Samsung a publié une déclaration disant qu’il prend très au sérieux les menaces de sécurité émergentes.

« Samsung KNOX a la capacité de mettre à jour la politique de sécurité des téléphones, en direct, pour invalider toute vulnérabilité potentielle causée par ce problème. Les mises à jour de la politique de sécurité commenceront à être déployées dans quelques jours », a déclaré la société. « En plus de la mise à jour de la politique de sécurité, nous travaillons également avec SwiftKey pour faire face aux risques potentiels à l’avenir. »

Un porte-parole de Google a déclaré que la société avait pris des mesures pour atténuer le problème avec la sortie d’Android 5.0 en novembre 2014.

« Bien que ceux-ci soient plus précisément caractérisés comme des problèmes au niveau de l’application, avec Android 5.0, nous avons pris des mesures proactives pour réduire le risque d’exploitation des problèmes », a déclaré Google dans un communiqué envoyé par e-mail à BreachTrace. « Pour le plus long terme, nous sommes également en train de contacter les développeurs pour nous assurer qu’ils suivent les meilleures pratiques en matière de développement d’applications sécurisées. »

SwiftKey a publié une déclaration soulignant que la société n’a pris connaissance du problème que cette semaine et que cela n’affecte pas ses applications de clavier disponibles sur Google Play ou Apple App Store. « Nous faisons tout ce que nous pouvons pour soutenir notre partenaire de longue date Samsung dans ses efforts pour résoudre cet important problème de sécurité », a déclaré SwiftKey dans un article de blog.

Mettre à jour: SwiftKey’s Jennifer Kutz suggère qu’il est incorrect d’utiliser l’expression « application préinstallée » pour décrire le composant fourni par Samsung avec ses appareils : ou moteur de prédiction – pour alimenter les claviers par défaut/stock de leurs appareils », a déclaré Kutz. « Le clavier n’est pas marqué comme SwiftKey, et la fonctionnalité entre notre application Google Play, ou l’application SwiftKey préinstallée, est différente de ce que les utilisateurs de Samsung ont (en bref, l’application SwiftKey officielle a un ensemble de fonctionnalités beaucoup plus robuste). Le SDK SwiftKey alimente les prédictions de mots – c’est un élément central de notre technologie mais ce n’est pas notre application complète.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *