-
chevron_right
La faille Dirty Stream met des milliards de smartphones en danger
news.movim.eu / JournalDuGeek · Yesterday - 17:03
- label
-
chevron_right
Faille Android – L’attaque Dirty Stream met en danger vos apps
news.movim.eu / Korben · 2 days ago - 18:13 · 2 minutes
- Ignorer le nom retourné par le fournisseur de fichiers distant lors de la mise en cache du contenu reçu
- Utiliser des noms générés aléatoirement ou assainir le nom de fichier avant d’écrire un fichier en cache
- Vérifier que le fichier en cache se trouve dans un répertoire dédié avant d’effectuer une opération d’écriture
-
Utiliser
File.getCanonicalPathet valider le préfixe de la valeur retournée pour s’assurer que le fichier est au bon endroit -
chevron_right
L’app Wizz, populaire chez les ados, contient de « sérieuses failles de sécurité »
news.movim.eu / Numerama · Tuesday, 23 April - 11:53
-
chevron_right
Des hackers français repartent encore avec la Tesla qu’ils ont piratée
news.movim.eu / Numerama · Friday, 22 March - 10:49
-
chevron_right
Deux nouvelles cyberattaques depuis TeamViewer, « changez vos mots de passe »
news.movim.eu / Numerama · Tuesday, 23 January - 17:29
-
chevron_right
L’éditeur Ubisoft enquête sur une cyberattaque contre son système interne
news.movim.eu / Numerama · Saturday, 23 December - 05:45
-
chevron_right
Une faille de sécurité majeure chez Ledger met en danger des applications de cryptomonnaie
news.movim.eu / Numerama · Thursday, 14 December - 17:03
-
chevron_right
Deux failles Apple sont exploitées par des hackers, mettez à jour vos appareils
news.movim.eu / Numerama · Friday, 1 December - 16:55
-
chevron_right
Demander la recette d’une bombe à ChatGPT, c’est encore possible un an après
news.movim.eu / Numerama · Tuesday, 21 November - 16:45
Mauvaise nouvelle, Microsoft vient de mettre en lumière une faille bien vicieuse qui se planque dans un paquet d’applications Android… enfin, quand je dis un paquet, je parle quand même de plus de 4 milliards d’installations concernées.
Cette saleté, baptisée « Dirty Stream « , permet à une app malveillante d’écrire tranquillou dans le répertoire d’une autre app et d’exécuter du code comme bon lui semble.
Mais comment c’est possible ce bazar ?
Eh bien figurez-vous que sous Android, les apps peuvent partager des données entre elles grâce à un système de « fournisseur de contenu ». Jusque là, tout va bien, sauf que certains petits malins ont trouvé le moyen de contourner les contrôles de sécurité en utilisant des « intents personnalisés » mal ficelées.
En clair, une app malveillante envoie un fichier avec un nom ou un chemin trafiqué à une app légitime qui, sans méfiance, l’exécute ou le stocke gentiment dans l’un de ses dossiers critiques. Et paf, l’attaquant peut alors faire mumuse avec les données de l’app cible, voler des infos sensibles comme les identifiants SMB et FTP stockés dans le fichier
rmt_i.properties
, ou carrément prendre le contrôle de l’app. Bref, c’est le boxon.
Et le pire, c’est que ce genre de boulettes est monnaie courante. Les chercheurs de Microsoft ont épinglé plusieurs apps populaires, comme le gestionnaire de fichiers de Xiaomi (1 milliard d’installations, tout de même) qui utilise un chemin spécifique
/files/lib
pour sauvegarder les fichiers, ce qui peut être détourné par un attaquant. Autant dire que ça fait un sacré paquet de téléphones exposés.
Heureusement, après avoir prévenu Google et les éditeurs concernés, des correctifs ont été déployés en vitesse. Mais ça la fout mal surtout quand on sait que selon l’équipe de recherche sur la sécurité des applications Android de Google, 20% des apps Android seraient vulnérables à ce type d’attaque. Ouch !
Alors, que faire pour se protéger ?
Et bien commencez par mettre à jour vos apps via le Google Play Store, à vérifier les permissions des app installées et surtout évitez d’installer des appli louches surtout si ça vient d’un store alternatif ou un APK tombé du camion. Et si vous êtes dev Android, il va falloir blinder vos apps en suivant ces bonnes pratiques :
Voilà, vous savez tout pour ne pas vous faire dirty streamer dans les grandes largeurs !
Un hacker éthique a découvert de nombreuses failles de cybersécurité sur Wizz App, une application pointée du doigt pour des affaires de sextorsion. Ses recherches incluent des captures de discussions privées.
Une équipe de hackers éthiques français a remporté un concours de piratage de Tesla pour la deuxième fois. Ces compétitions visent à sécuriser les véhicules, avant que des pirates malveillants s'attaquent sérieusement aux voitures connectées.
Deux infiltrations dans des réseaux d'entreprises depuis TeamViewer ont été détectées par une entreprise de cybersécurité. Les attaques de ce genre sont communes depuis plusieurs années.
Le célèbre éditeur de jeux vidéo Ubisoft (Assassin's Creed, Far Cry) a confirmé qu'une enquête est en cours après une potentielle cyberattaque. Les services de cybersécurité auraient stoppé le pirate à temps.
Ledger, l’un des leaders français du secteur des crypto-monnaies, a identifié une faille exploitée par des hackers. Cette vulnérabilité concerne le Connect Kit, qui permet de se connecter aux applications de cryptomonnaie.
Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/
Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/