Menu
Begeek.fr
Obtenir l’application
Navigation : 
  • Tech
    • Apple
    • Google
    • Android
    • Facebook
  • Pop Culture
    • Netflix
  • Jeux Vidéo
    • PS5
    • Xbox Series X
    • Play To Earn
  • Fintech
    • Crypto-monnaies
    • Les meilleures cartes bancaire Bitcoin
    • Les meilleurs wallet crypto
    • Créer son RIG de minage
    • Cloud mining et stacking
En ce moment : 
  • Crypto : guide du débutant
  • Sorare : le guide
  • Meilleures exchanges Crypto

Android : un bogue du NFC permet d’installer des malwares

Tech > Android
Par Lionel,  publié le 5 novembre 2019 à 14h30.

Tous les appareils sous Android 8 (Oreo) et ultérieurs sont concernés. Le mois dernier, Google a publié un correctif logiciel.

À la fin du mois d’octobre, Google publiait un correctif pour les appareils sous Android 8 pour une faille qui permettait à des hackers d’exploiter une fonctionnalité peu connue, le NFC beaming. Celle-ci fonctionne via le service Android OS Android Beam qui lui permet d’envoyer des données telles que des images, fichiers, vidéos et même applications par des ondes courtes portées. Le NFC pour Near-Field Communication (Communication en champ proche) a été conçu comme une alternative au Wi-Fi et Bluetooth et est au cœur des services de paiements tels que AliPay, Apple Pay ou Samsung Pay. Lorsque des applications étaient envoyées sur des appareils sous Oreo (au format APK), les notifications demandant à l’utilisateur s’il souhaite installer ou non l’app qui devaient apparaître ne s’affichaient plus.

Un problème spécifique à Android 8 et OS ultérieurs

Le chercheur en sécurité Y. Shafranovich a en effet découvert que la notification permettait a contraire d’installer l’application d’un seul clic même s’il elle provenait d’une source (un développeur) inconnue. Dans les paramètres de l’OS, sous l’onglet Sécurité, on peut choisir d’installer des applications émanant de sources inconnues (c’est même nécessaire si l’on utile un magasin d’applications alternatifs comme Yalp), mais cette option est grisée par défaut. Le problème qui est apparu avec Android 8 est le mécanisme d’autorisation révisé des applications qui leur donne la possibilité d’en installer d’autres.

Une montée en privilège sans supervision

Le bogue CVE-2019-2114 s’appuie sur Android Beam car l’application est sur liste blanche pour installer des applications de sources inconnues. Cela permettait ainsi au chercheur en sécurité de faire installer des applications par NFC sans intervention de l’utilisateur. Google affirme que le NFC n’a jamais été pensé comme un moyen d’installer des applications mais des données, et n’a donc pas envisagé ce cas de figure. Les utilisateurs d’Android 8 qui n’ont pas installé la mise à jour peuvent cependant désactiver Android Beam tout en laissant le NFC activé pour le paiement ; il faut également prendre en compte que le NFC ne fonctionne entre deux smartphones qu’à 4cm de distance, réduisant de fait les risques d’attaques.

Le Récap
  • Un problème spécifique à Android 8 et OS ultérieurs
  • Une montée en privilège sans supervision
En savoir plus
  • L’application Apple Music Classical est disponible sur Android
  • Les derniers CPU d’ARM poussent les fabricants de smartphones Android vers le 64 bits
  • WhatsApp teste le partage d’écran sur les smartphones Android
Vous aimez nos contenus ?
Recevez chaque jour nos dernières publications gratuitement et directement dans votre boite mail
Recevoir la newsletter
  • Infos Légales
  • Contact
  • À propos
  • Données personnelles
  • Archives
  • Musique en ligne
© 2023 - Tous droits réservés sur les contenus du site Begeek.fr  - ADN Contents -