Mauvaise nouvelle, Microsoft vient de mettre en lumière une faille bien vicieuse qui se planque dans un paquet d’applications Android… enfin, quand je dis un paquet, je parle quand même de plus de 4 milliards d’installations concernées.

Cette saleté, baptisée « Dirty Stream« , permet à une app malveillante d’écrire tranquillou dans le répertoire d’une autre app et d’exécuter du code comme bon lui semble.

Mais comment c’est possible ce bazar ?

Eh bien figurez-vous que sous Android, les apps peuvent partager des données entre elles grâce à un système de « fournisseur de contenu ». Jusque là, tout va bien, sauf que certains petits malins ont trouvé le moyen de contourner les contrôles de sécurité en utilisant des « intents personnalisés » mal ficelées.

En clair, une app malveillante envoie un fichier avec un nom ou un chemin trafiqué à une app légitime qui, sans méfiance, l’exécute ou le stocke gentiment dans l’un de ses dossiers critiques. Et paf, l’attaquant peut alors faire mumuse avec les données de l’app cible, voler des infos sensibles comme les identifiants SMB et FTP stockés dans le fichier rmt_i.properties, ou carrément prendre le contrôle de l’app. Bref, c’est le boxon.

Et le pire, c’est que ce genre de boulettes est monnaie courante. Les chercheurs de Microsoft ont épinglé plusieurs apps populaires, comme le gestionnaire de fichiers de Xiaomi (1 milliard d’installations, tout de même) qui utilise un chemin spécifique /files/lib pour sauvegarder les fichiers, ce qui peut être détourné par un attaquant. Autant dire que ça fait un sacré paquet de téléphones exposés.

Heureusement, après avoir prévenu Google et les éditeurs concernés, des correctifs ont été déployés en vitesse. Mais ça la fout mal surtout quand on sait que selon l’équipe de recherche sur la sécurité des applications Android de Google, 20% des apps Android seraient vulnérables à ce type d’attaque. Ouch !

Alors, que faire pour se protéger ?

Et bien commencez par mettre à jour vos apps via le Google Play Store, à vérifier les permissions des app installées et surtout évitez d’installer des appli louches surtout si ça vient d’un store alternatif ou un APK tombé du camion. Et si vous êtes dev Android, il va falloir blinder vos apps en suivant ces bonnes pratiques :

• Ignorer le nom retourné par le fournisseur de fichiers distant lors de la mise en cache du contenu reçu
• Utiliser des noms générés aléatoirement ou assainir le nom de fichier avant d’écrire un fichier en cache
• Vérifier que le fichier en cache se trouve dans un répertoire dédié avant d’effectuer une opération d’écriture
• Utiliser File.getCanonicalPath et valider le préfixe de la valeur retournée pour s’assurer que le fichier est au bon endroit

Voilà, vous savez tout pour ne pas vous faire dirty streamer dans les grandes largeurs !

Source

Google prépare un mode anti-ex pour vos anciennes photos. Une prochaine version de l'application Photos devrait permettre d'exclure certains visages des rétrospectives qui sont parfois suggérées.

Google a un plan pour ajouter encore plus de pub sur YouTube : en ajouter lorsque vous mettez une vidéo en pause.

Google Podcasts sera donc arrêté dans le monde entier le 23 juin 2024. Une fin qui illustre un problème récurrent chez l'entreprise américaine : la fermeture régulière de produits et services. Cette incapacité à faire durer ses activités est nuisible pour son image de marque.

Vous faites un malaise, vous avez un accident, vous êtes inconscient ou désorienté. Il vaut mieux anticiper ces situations auxquelles on ne préfère pas penser, en configurant des contacts d’urgence sur son téléphone. Il existe une procédure sur l'iPhone et sur les appareils Android.

Quelques mois après Android, la version iOS de l'application WhatsApp est complétée avec les passkeys -- clés d'accès en français. Ils représentent l'avenir des mots de passe, grâce à leurs atouts pour résister aux attaques informatiques.

Quelques mois après Android, la version iOS de l'application WhatsApp est complétée avec les passkeys -- clés d'accès en français. Ils représentent l'avenir des mots de passe, grâce à leurs atouts pour résister aux attaques informatiques.

Lancée par Île-de-France Mobilités en avril 2024, Transport Public Paris 2024 est « l'application officielle pour se déplacer pendant les Jeux olympiques ». Elle permettra notamment d'utiliser son smartphone (iPhone ou Android) pour valider son titre de transport dans le métro.

Il n'est pas toujours évident de s’y retrouver dans la multitude d’éditeurs et de visionneuses PDF qui pullulent sur le web. Notre sélection volontairement réduite vous indiquera quel éditeur de fichiers PDF choisir et pourquoi.

Déjà bloqué depuis 2017, WhatsApp est désormais introuvable en Chine sur décision du gouvernement. Les autorités chinoises ne veulent pas prendre le risque que l'application soit utilisée avec un VPN. D'autres messageries occidentales ont connu le même sort.

Après Stadia, Podcasts et One VPN, Google se prépare à faire le ménage dans Google Keep, son logiciel de prise de notes. L'application ne devrait pas être complètement supprimée, mais Google Tasks devrait récupérer une partie de ses fonctions.

Le premier concurrent de l'App Store est disponible sur les iPhone de l'Union européenne. Il coûte 1,80 euro par an, se limite à deux applications pour l'instant et ouvre la voie à des logiciels jusque-là interdits dans l'écosystème Apple.

Contraint par le DMA européen (le nouveau règlement sur la concurrence), Apple annonce l'ouverture de l'iPhone à l'installation d'applications tierces depuis des pages web. La mise à jour iOS 17.5, disponible en bêta 2 ce 16 avril, met fin à une limite de 16 ans.

Sur ordinateur, il est devenu compliqué de supprimer les publicités sur YouTube sans que le site détecte votre adblock. Sur smartphones, certaines applications permettent la lecture de vidéo sans aucune publicité. Google en a bien conscience et est en train d'y travailler pour rendre leur plateforme inaccessible à ce genre d'applications.

L’article YouTube : Google sévit et intensifie sa lutte contre les bloqueurs de publicité est apparu en premier sur Tom’s Hardware.

Avec le printemps, les allergies font leur grand retour. La plupart des applications de météo ne prennent pas ce facteur important en compte, mais il existe des logiciels spécialisés dans les pollens et leurs allergènes.

Les services fiscaux ont sorti une nouvelle version de l'application mobile dédiée aux impôts. Le remplissage et la correction de la déclaration sont ainsi facilités, tant que les situations fiscales ne sont pas trop complexes. Sinon, il faudra encore passer par le site web.

Le gestionnaire de mots de passe Keeper devient aussi un gestionnaire de passkeys -- du moins, sur mobile. Les clés d'accès n'étaient pas encore gérées sur l'appli. Ils l'étaient déjà sur la version de bureau.

La sécurité sur Android et plus particulièrement la signature des applications c’est loin d’être tout beau tout rose. Vous le savez peut-être, notre bon vieux VLC, a quelques soucis pour mettre à jour son app Android sur le Play Store ces derniers temps.

Alors pourquoi ce blocage ? Eh bien tout simplement parce que Google a décidé de rendre obligatoire l’utilisation des App Bundles pour toutes les applications proposant des fonctionnalités TV. Jusque-là, pas de problème me direz-vous. Sauf que ce nouveau format nécessite de fournir sa clé de signature privée à Google. Et ça, c’est juste im-po-ssible pour l’équipe de VLC !

Fournir sa clé privée à un tiers, c’est comme donner les clés de son appartement à son voisin. C’est la base de la sécurité : ce qui est privé doit le rester. Sinon autant laisser sa porte grande ouverte avec un panneau « Servez-vous » ! 😅

Depuis les débuts d’Android, chaque app doit être installée via un fichier APK. Ce fichier contient tout le nécessaire : le code, les ressources, les données… Et pour vérifier qu’un APK est authentique, il doit être signé avec une clé privée générée par le développeur. N’importe qui peut alors vérifier la clé publique utilisée pour signer le fichier.

L’avantage de ce système est de garantir l’intégrité de l’app. Si le développeur perd sa clé privée ou son mot de passe, impossible de publier des mises à jour car la nouvelle signature ne correspondra pas. Et s’il file sa clé à quelqu’un d’autre, cette personne pourra signer ses propres versions qui seront considérées comme légitimes. Vous voyez le problème maintenant ?

Avec les App Bundles, on passe à un système de double signature où une clé de téléchargement (upload key) permet au Play Store de vérifier que celui qui envoie le fichier est légitime. Jusque-là, ça va. Mais où clé de signature (release key), doit être détenue par Google ! Autrement dit, le Play Store signe l’app à la place du développeur. C’est donc cette clé privée que Google réclame aujourd’hui à VLC.

Google a bien tenté de mettre en place des mesures pour atténuer le problème, comme le dual release qui permet sur les appareils récents (Android 11+) d’installer une mise à jour signée différemment si une preuve de rotation de clé est fournie. Mais pour les apps comme VLC qui supportent aussi les vieux appareils et la TV, ça ne fonctionne pas.

Du coup, l’équipe de VLC se retrouve face à un choix cornélien :

1. Donner sa clé privée à Google et continuer à publier normalement. Bénéfice : aucun. Risque : Google a le contrôle total sur les mises à jour et la sécurité de l’app. Autant dire que pour eux c’est non.
2. Virer le support TV des APK publiés sur le Play Store. Avantage : pas besoin de donner sa clé privée pour les appareils récents. Inconvénient : plus de support TV pour les vieux appareils sous Android 10 et moins. Pas top.
3. Passer full App Bundles. Avantage : aucun. Inconvénient : ça rendrait l’app incompatible avec 30% des utilisateurs actuels. Même pas en rêve !

Bref, vous l’aurez compris, l’équipe de VLC est dans une impasse et c’est pour ça qu’aucune mise à jour n’a été publiée ces derniers mois sur le Play Store.

Et ce n’est pas qu’une question de principe. Le Play Store n’est pas le seul store sur Android. VLC est aussi disponible sur le site officiel, l’Amazon AppStore, le Huawei AppGallery… Donc donner sa clé à Google compromettrait toute la chaîne de publication.

Malheureusement, sans modification de la part de Google sur ces nouvelles exigences, il n’y a pas de solution miracle pour continuer à proposer le support TV sur les vieux appareils Android via le Play Store.

C’est rageant pour les développeurs qui se retrouvent pieds et poings liés, mais c’est aussi inquiétant pour nous utilisateurs. Quand le plus gros store d’apps au monde se met à réclamer les clés privées des développeurs, on peut légitimement se poser des questions sur sa conception de la sécurité et de la vie privée.

Espérons que Google entendra les critiques et fera machine arrière sur ce point. En attendant, la seule chose à faire est de soutenir les développeurs comme VLC qui résistent encore et toujours à l’envahisseur et continuent à privilégier la sécurité de leurs utilisateurs avant tout.

Si ça vous interesse, vous pouvez suivre toute l’affaire en détail sur cet article passionnant (si si, je vous jure) : VLC for Android updates on the Play Store

Cet article a été réalisé en collaboration avec Bitdefender

Sur internet, aucun canal n’échappe aux hackers, pas même les messageries instantanées. Heureusement, quelques bonnes pratiques limitent les risques.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus