AirDroid : une vulnérabilité grave menace des dizaines de millions d’utilisateurs d’Android

Par

le

Airdroid, l’outil pour gérer son smartphone à partir du navigateur de son ordinateur, contient une faille de sécurité qui menace des dizaines de millions d’utilisateurs d’Android.

Si vous êtes un utilisateur d’Android, vous avez peut-être entendu parler de AirDroid, une application qui permet de contrôler son appareil Android à partir de la fenêtre du navigateur de n’importe quel ordinateur. L’outil est extrêmement robuste: vous pouvez répondre aux messages directement depuis votre PC, ignorer ou répondre à un appel entrant, rendre les notifications de certaines applications silencieuses, et même transférer des fichiers et des photos simplement en cliquant et en faisant glisser. Malheureusement, il est également vulnérable aux hacks: selon la société de sécurité Zimperium, une importante faille laisse des dizaines de millions d’utilisateurs d’AirDroid à la merci des pirates.

La vulnérabilité est la faiblesse de le méthode de cryptage. Dans un blog publié vendredi, Zimperium a signalé que la clé d’AirDroid – un code numérique composé d’une combinaison de chiffres, de lettres et de caractères – utilisait pour masquer les mises à jour et les données sensibles est à la fois «statique» et «facilement détectable». Tandis qu’AirDroid utilise le protocole de sécurité HTTPS standard pour gérer la plupart des fichiers, l’application transfère des bits cruciaux via du HTTP non crypté.

Cela donne l’opportunité à un hacker raisonnablement qualifié d’effectuer ce que l’on appelle une attaque man-in-the-middle: l’utilisation d’un ordinateur tiers pour se faire passer pour des serveurs AirDroid, livrer des mises à jour d’applications frauduleuses et afficher des informations sensibles. De cette façon, les pirates peuvent voler des adresses e-mail et des mots de passe, installer des applications ou même remplacer l’application AirDroid légitime par une réplique malveillante.

« Une personne malveillante sur le même réseau que la victime peut tirer parti de cette vulnérabilité afin de prendre le contrôle total de leur appareil », a déclaré à Ars Techica Simone Margaritelli, chercheur en sécurité chez Zimperium. « De plus, l’attaquant sera capable de voir les informations sensibles de l’utilisateur … Dès que la mise à jour, ou fausse mise à jour, est installée, le logiciel lance automatiquement le fichier d’application Android mis à jour sans jamais vérifier sa source. »

Zimperium a révélé la vulnérabilité à AirDroid en mai, mais celle-ci reste présente dans la plus récente version majeure d’AirDroid (version 4), lancée à la mi-novembre. Un correctif ultérieur, en version 4.0.0.1, ne semble pas avoir résolu le problème. Et San Studios, l’équipe de développement derrière AirDroid, n’a pas encore répondu aux avertissements de Zimperium.

Si vous êtes un utilisateur actif d’AirDroid, vos options sont relativement peu nombreuses.

Android limite la mesure dans laquelle les applications malveillantes peuvent modifier les fichiers de votre téléphone, mais AirDroid a plus d’accès que la plupart. L’app peut effectuer des achats sur les applications et accéder aux contacts, aux SMS, à l’appareil photo, au microphone, aux photos, aux données de connexion Wi-Fi ou bien encore à l’ID de périphérique. Et une mise à jour malveillante se présentant comme légitime pourrait demander des autorisations supplémentaires.

Un réseau privé virtuel, ou VPN, est une solution potentielle – mais imparfaite. Les VPN ajoutent une couche de sécurité aux réseaux non cryptés, fournissant une mesure de protection contre les attaquants. Ars Technica note toutefois que rien ne garantit qu’un pirate informatique ne choisira pas un portail captif – le type de page Web que les hôtels et les compagnies aériennes utilisent pour collecter les informations de paiement et d’enregistrement – pour rediriger un utilisateur d’un VPN vers une connexion compromise.

Jusqu’à ce que le problème soit corrigé, il est donc préférable d’utiliser AirDroid uniquement sur les réseaux sans fil de confiance. Si vous comptez sur le Wi-Fi public, cependant, il vaut mieux désactiver ou désinstaller AirDroid jusqu’à ce qu’un correctif arrive.