Accueil » Actualité » Une faille dans le navigateur Android dévoile vos secrets

Une faille dans le navigateur Android dévoile vos secrets

Image 1 : Une faille dans le navigateur Android dévoile vos secretsLa faille exploitée par Rafay Baloch Rafay Baloch a découvert une faille de sécurité dans le navigateur d’Android (dit navigateur AOSP pour Android Open Source Platform) qui a été caractérisée de « désastreuse » par Metasploit. Elle permet à un frame JavaScript de s’exécuter sur une autre page web provenant d’une source complètement différente. La faille est présente sur toutes les versions Android antérieures à 4.4 et elle demande une mise à jour du système pour être corrigée. Google a publié deux correctifs, mais il faudra qu’ils soient intégrés et déployés par les opérateurs et fabricants dans la majorité des cas. Or les marques ont tendance à manquer de réactivité.

Contourner la police de même origine

Depuis Android 4.2, le navigateur par défaut est Chrome. Néanmoins, le système d’exploitation utilise le navigateur Android pour visualiser des pages web depuis une application. La raison pour laquelle Android 4.4 n’est pas touché par cette faille est parce qu’il a remplacé ce navigateur système par un moteur Chromium. Le problème du navigateur Android est qu’il a un bug permettant de contourner la police dite de « même origine ». Cette police est une mesure de sécurité qui interdit à une page web d’accéder le contenu d’une page autre web provenant d’une adresse différente. Ainsi, le site http://jetepirate.com ne peut pas accéder le contenu de https://mabanque.com, comme l’explique Ars Technica.

Or, M. Baloch a montré qu’il était possible de contourner cette police lorsque l’on utilisait le navigateur AOSP. En théorie, il est donc possible au site http://jetepirate.com d’enregistrer ce que l’on tape lorsque l’on visite https://mabanque.com, de lire les cookies et d’accéder aux informations contenues sur le site. Il a publié un proof-of-concept et alerté Google qui a d’abord rejeté son papier en affirmant en pas pouvoir reproduire ses résultats. Il a fallu que Metasploit publie un outil exploitant la faille pour que l’éditeur se penche sur le bug. Elle a publié des correctifs au début du mois, mais ils ne semblent pas avoir encore été déployés. Google recommande aussi d’utiliser Chrome, mais reste silencieux sur le fait que le module d’affichage de page web présent dans le système et utilisé par les applications reste vulnérable.

Un problème inquiétant

Il est difficile de ne pas être inquiet. Selon les chiffres de Google, 75 % des terminaux Android dans la nature utilisent une version du système d’exploitation qui est touchée par cette faille. Beaucoup d’entre eux ne seront pas mis à jour par le constructeur ou l’opérateur et le navigateur AOSP qui est livré par défaut reste très populaire auprès du consommateur moyen. C’est aussi ce genre d’utilisateur qui a tendance à installer une application sans se soucier de son origine ou cliquer un lien dans un mail menant vers un site malveillant. Il ne faut pas être alarmiste. Nous ne disposons pas de chiffres permettant de mesurer la portée de ce problème et savoir s’il a déjà causé des dégâts. Il n’en est pas moins important et dangereux.