in

Fondrière Android – L’calomnié Dirty Stream met en angoisse vos apps


Abominable information, Microsoft vient de poser en rayon une lézarde entreprenant vicieuse qui se cachette pour un groupe d’applications Android… bref, simultanément je dis un groupe, je parle simultanément même de encore de 4 milliards d’installations concernées.

Cette ordure, baptisée « Dirty Stream« , permet à une app agressive d’calligraphier tranquillou pour le nomenclature d’une contradictoire app et d’réaliser du occulte comment bon lui semble.

Malheureusement hein c’est hypothétique ce magasin ?

Eh entreprenant figurez-vous que dessous Android, les apps peuvent fractionner des occasion imprégné elles-mêmes bénédiction à un méthode de « transitaire de intérieur ». Jusque là, total va entreprenant, indemne que les gens bébés malins ont trouvé le bâclent de obliquer les contrôles de abri en utilisant des « intents personnalisés » mal ficelées.

En manifeste, une app agressive envoie un casier en tenant un nom ou un voie truqué à une app rémissible qui, hormis soupçon, l’exécute ou le stocke complaisamment pour l’un de ses dossiers cruciaux. Et paf, l’agresseur peut puis prendre mumuse en tenant les occasion de l’app objectif, prendre des news sensibles comment les identifiants SMB et FTP stockés pour le casier rmt_i.properties, ou librement conduire le domination de l’app. Vulgaire, c’est le boxon.

Et le mauvais, c’est que ce nature de boulettes est finances orthodoxe. Les chercheurs de Microsoft ont épinglé hétérogènes apps populaires, comment le curatrice de fichiers de Xiaomi (1 milliard d’installations, total élément) qui utilise un voie défini /files/lib moyennant garantir les fichiers, ce qui peut concerner dérouté par un agresseur. Pareillement assertion que ça conte un sacré groupe de téléphones exposés.

Avantageusement, postérieurement empressé informé Google et les éditeurs concernés, des correctifs ont été déployés en rapidité. Malheureusement ça la fout mal spécialement simultanément on sait que suivant l’cartel de examen sur la abri des applications Android de Google, 20% des apps Android seraient vulnérables à ce représentatif d’calomnié. Ouch !

Lorsque, que prendre moyennant se barder ?

Et entreprenant commencez par poser à soupirail vos apps via le Google Play Panneau, à contrôler les permissions des app installées et spécialement évitez d’mettre des appli louches spécialement si ça vient d’un portière successif ou un APK tombé du voiture. Et si vous-même êtes dev Android, il va nécessiter cuirasser vos apps en disciple ces bonnes oeuvres :

Négliger le nom apitoyé par le transitaire de fichiers respectable lorsque de la costume en abrité du intérieur pris
Tendre des noms générés précairement ou équilibrer le nom de casier vis-à-vis d’calligraphier un casier en abrité
Authentiquer que le casier en abrité se trouve pour un nomenclature offert vis-à-vis d’façon une arithmétique d’caractères
Tendre Caravane.getCanonicalPath et identifier le fixe de la vaillance retournée moyennant s’alléguer que le casier est au bon frontispice

Voici, vous-même savez total moyennant ne pas vous-même prendre dirty streamer pour les grandes largeurs !

Amont



Amont link

What do you think?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

GIPHY App Key not set. Please check settings

À cause «The Economist», Emmanuel Macron s’violence au Attroupement citoyen

De Néné de Niro au déploiement de l’escadron, cinq intox sur les manifestations des campus américains