Flux RSS
Mobilité
3327 documents trouvés, affichage des résultats 1161 à 1170.
| < Les 10 documents précédents | Les 10 documents suivants > |
(05/11/2010 14:43:37)
Un chercheur prêt à livrer un code d'attaque contre Android
M.J. Keith, chercheur en sécurité informatique chez Alert Logic, affirme avoir écrit un code lui permettant de faire exécuter une simple ligne de commande shell par Android, lorsque la victime visite un site web contenant son code d'attaque, en utilisant une faille dans le moteur du navigateur WebKit. Google a confirmé, par la voix de son porte-parole Jay Nancarrow, qu'elle connaissait l'existence de cette vulnérabilité. « Nous savons que WebKit présente un problème qui pourrait affecter les anciennes versions du navigateur d'Android. Mais celui-ci ne concerne pas Android 2.2 ou les versions ultérieures, » a t-il déclaré.
Selon Google, 36,2 % des téléphones sous Android sont équipés de la version 2.2. C'est le cas en particulier des modèles Droid et Evo 4 d'HTC. Seuls des téléphones plus anciens, comme le G1 et le Droid Eris d'HTC, dont le logiciel ne peut pas être mis à jour, pourraient présenter un risque. Mais, parce qu'Android compartimente les différentes composantes du système d'exploitation, l'attaque de M.J. Keith, qui passe par le navigateur, ouvre à tout ce que lit le navigateur, mais ne donne pas un accès complet à la racine d'un téléphone piraté. Cela signifie que l'attaque ne pourrait probablement pas être utilisée pour lire ou envoyer des messages SMS ou effectuer des appels, mais pourrait permettre de voler des photos sur le téléphone ou de s'emparer de l'historique de navigation. « On peut prendre le contrôle total sur le contenu de la carte SD, » a t-il déclaré dans une interview. « S'ils utilisent leur navigateur pour accéder à quoi que ce soit, il doit être possible d'avoir la main sur ces choses là, » a t-il ajouté.
Une faille exploitable sur plusieurs plates-formes
WebKit est un logiciel Open Source utilisé par les navigateurs Safari et Chrome, mais aussi de nombreux autres produits. La faille de WebKit que M.J Keith envisage d'exploiter avait déjà été rendue publique, mais le chercheur l'a maintenant mise à profit contre Android. Il a soumis son attaque sur le site Exploit Database, mais celle-ci n'a pas encore été mise en ligne. Les professionnels de la sécurité sont conscients de l'existence de nombreux bugs non corrigés dans les composants des téléphones mobiles, mais cela fait peu de temps que les smartphones suscitent l'intérêt sérieux dont profitent les systèmes d'exploitation et les applications Windows. C'est le signe que ces questions deviennent de plus en plus de notoriété publique.
En 2008, le chercheur en sécurité Charlie Miller avait remporté 10 000 dollars lors d'un concours de piratage. Il avait réussi à exploiter un bug situé dans le PCRE (Perl Compatible Regular Expressions) inclus dans la bibliothèque WebKit pour Mac. Quelques mois plus tard, il montrait que la même faille pouvait être utilisée pour réaliser une attaque contre Android. « A l'époque, celle-ci avait était corrigée dans WebKit, mais pas dans le système d'exploitation Android, » a indiqué Charlie Miller dans une interview. La semaine dernière, lors d'un audit de sécurité, Coverity a identifié plus de 359 défauts potentiels dans le code source du kernel du système d'exploitation Linux d'Android. Selon son analyse, un quart d'entre eux sont à haut risque et pourraient conduire à des attaques similaires à celle imaginée par M.J. Keith.
La fragmentation d'Android nuit à la difusion d'un patch
L'attaque de M.J Keith met en évidence un problème bien plus grave, lié au nombre multiple de fabricants de téléphones et de fournisseurs de services par lequel Android est distribué. Si l'iPhone ou le BlackBerry nécessitent un correctif de sécurité, Apple ou Research in Motion peuvent le livrer directement à leurs utilisateurs. Mais avec Android, rien de tel : c'est aux fabricants ou aux opérateurs réseau qu'il revient de diffuser les mises à jour logicielles pour les smartphones tournant sous le système d'exploitation de Google. Et tous ne prévoient pas de faire passer leurs téléphones à la version 2.2. « À l'heure actuelle, le problème avec Android, c'est que les gens ne disposent pas immédiatement du patch nécessaire, » a déclaré Robert Graham, PDG d'Errata Security, qui s'attend à voir plus d'attaques du type WebKit dans l'avenir.
(...)(04/11/2010 14:56:07)L'ancien PDG de Sun se confie sur Ellison, Java et l'Open Source
(mise à jour) « Cela ne me pose pas de problème que Larry Ellison ait racheté Sun. C'est la règle du jeu du capitalisme. Dès qu'une société entre en bourse, elle est à vendre. Cela fait partie des conditions », souligne l'ancien dirigeant. Il a ajouté en parlant du CEO d'Oracle qu'il n'avait pas non plus « de problème avec le fait qu'il exerce ses droits de propriété intellectuelle. Est-ce de cette façon que nous aurions procédé ? Bien sûr que non ».
Pendant les 40 minutes qu'a duré son intervention, Scott McNealy s'est livré, avec son humour pince-sans-rire habituel, à un exercice critique à l'encontre de ses anciens rivaux, avant de répondre à quelques questions de l'assemblée. Pour celui qui fut l'un de ses co-fondateurs, Sun était une entreprise de « bons capitalistes », ce qui implique autant de vertu que d'efficacité, alors que Larry Ellison, lui, est un « grand capitaliste ». Au bout du compte, « il est là où il est, et je suis là où je suis ». Autrement dit : Larry Ellison se trouve toujours à la tête d'Oracle, alors que Scott McNealy est sans emploi.
Interrogé sur le procès en contrefaçon de brevet relatif à l'utilisation de Java dans Android qu'Oracle a intenté à Google, Scott McNealy a déclaré qu'il trouvait assez ironique que la société de Larry Ellison ait, dans le passé, demandé à Sun d'assouplir ses conditions de licence pour Java. Mais il se définit aussi comme un « ardent capitaliste » et il reconnaît à Oracle le droit de protéger sa propriété intellectuelle. « Il y a des lois sur le copyright, il y a des brevets, et je crois dans leur respect », a déclaré Scott McNealy.
Une analyse capitalistique de l'Open Source
Questionné sur l'avenir de Java sous Oracle, l'ancien CEO de Sun semble avoir des opinions contradictoires sur les vertus de l'Open Source et sa pertinence en tant que modèle économique. « Je crois dans l'ouverture et le partage », explique-t-il, mais « Larry Ellison peut effectivement faire mieux avec son modèle. Cela dépend vraiment de la manière dont il s'y prend. » Oracle peut investir davantage dans Java que Sun ne l'a fait s'il « ramasse la mise avec Google », précise-t-il. Le spécialiste des bases de données a poursuivi Google en août pour violation de brevets relatifs à Java, mais la firme de Mountain View nie toute malversation. « Le partage, n'est pas dans les habitudes de Larry Ellison », a-t-il encore dit. Mais les développeurs peuvent toujours utiliser le code dans des projets Open Source et les intégrer ensuite dans d'autres projets. « C'est ce qui va sans doute se produire avec OpenSolaris et Java ».
Scott McNealy a également évoqué l'industrie du logiciel propriétaire. « Les fournisseurs arrivent à attirer les clients avec des logiciels à bas prix, leur faisant ensuite surpayer le support et les verrouillant en les empêchant de changer de fournisseurs », argumente-t-il. « Le prix d'achat du logiciel, c'est un peu comme le premier shoot d'héroïne : il est gratuit », a t-il plaisanté. Il n'a plus l'air très sûr que la voie offerte par l'Open Source soit la meilleure d'un point de vue commerciale. « C'est la raison pour laquelle je m'adresse à vous aujourd'hui, bénévolement », a t-il précisé. Mais Scott McNealy n'est pas tout à fait sans emploi. Il est consultant pour des startups et est impliqué dans un programme pédagogique à but non lucratif du nom de Curriki - une contraction de «Curriculum» et de «Wikipedia» - qui fournit gratuitement des bourses, des livres et autres matériels pour les écoles. (...)
La technologie NFC s'invite à l'hôtel
Concrètement, ces derniers reçoivent notamment sur leur téléphone mobile, s'il est doté d'une puce NFC, le code d'accès à leur chambre avant même leur arrivée. Ne reste plus qu'à passer le téléphone sur le lecteur installé sur la porte de la chambre pour prendre possession du lieu. Cette phase de test durera quatre mois.
La technologie sans contact, qui repose sur l'échange de données sans fil entre deux appareils électroniques, a été installée dans l'hôtel Clarion de Stockholm par la société Assa Abloy.
Téléphone fourni pour clientèle ciblée
Durant les quatre mois de la phase test, les clients dotés d'un téléphone mobile intégrant une puce NFC pourront profiter de ce nouveau service. Ce téléphone est fourni par l'hôtel à une clientèle sélectionnée. Dans la pratique, le client pourra s'enregistrer en ligne avant son arrivée à l'hôtel et recevra en retour un code d'accès pour sa chambre. Une fois arrivé à l'hôtel, il n'a plus qu'à aller directement à sa chambre sans passer par le service d'accueil. Après le départ du client, la porte de la chambre se ferme automatiquement, le client indique depuis son mobile qu'il quitte l'établissement et la clé d'accès est désactivée.
Si les résultats s'avèrent concluants le groupe Choice Hotels Scandinavia, auquel appartient l'hôtel, étendra cette technologie à d'autres hôtels.
| < Les 10 documents précédents | Les 10 documents suivants > |