Android : prise de contrôle d’un smartphone sans avoir installé d’application malicieuse ?


 Le 22/12/11

Thomas Cannon est un expert en sécurité informatique qui travaille chez viaForensics, une société américaine spécialisée dans la sécurité en lien avec les technologies actuelles et qui a d’ailleurs publié récemment un rapport complet (payant pour la version complète) concernant le sujet.

Cannon a publié une vidéo dans laquelle il nous démontre qu’il est possible de prendre le contrôle (via un shell) d’un appareil Android sans avoir installé d’application malicieuse sur le terminal.

Il utilise une méthode basée sur le fonctionnement de base d’Android, exploitant une sorte de faille inhérente à l’OS et qui existe depuis les premières versions sans qu’aucun correctif n’ai été proposé.

L’expert en sécurité ne dévoile pas les détails de sa méthode, mais il explique qu’en installant une application qui ne demande pas de permissions (donc considérée comme inoffensive) mais qui exploite les permissions accordées à d’autres apps (ici le navigateur web), il est possible d’accéder au terminal via ligne de commande et de contrôler le mobile sans trop de problèmes.

Voici la vidéo en question :

via korben

vignette par Sam Pratt

Accès directs

Systèmes d'exploitation :

Android