Archives du mot-clé Android

Android : une faiblesse introduite par la NSA ?

Via HN :

En décembre 2012, une mise à jour sur le système Android changeait la liste des protocoles cryptographiques utilisés pour tout établissement de connexion SSL.
On sait que quand une connexion SSL est créée, un handshake entre le client et le serveur permet de définir un protocole qui sera utilisé pour chiffrer la suite de la communication. Le choix du protocole se fait parmi une liste et c’est toujours le plus sécurisé disponible pour les deux parties qui sera utilisé.

Or la modification faite sur Android change la liste qui était celle par défaut sur OpenSSL (AES256 > 3DES > AES128 > RC4) pour une liste fait-maison (RC4 > AES128 > 3DES) et ce pour la seule raison visible de ne plus dépendre de la liste proposée par OpenSSL

L’AES256 étant le plus sûr et RC4 ayant des faiblesses connues, on peut se demander si ce changement est la conséquence d’un amateurisme total en crypto ou la touche perso de la NSA

Un auteur de fausses applications Android arrêté en France

Via BBC et mag-securs :

Un auteur de malwares pour smartphones Android a été arrêté à Amiens.

Il publiait sur des markets pour Android des applications ressemblant à des applis officielles mais avec un petit plus par rapport aux apps originales : l’envoi de SMS vers un numéro surtaxé et la récupération d’identifiants utilisateurs.
Depuis 2011 il aurait ainsi ramassé environ 500.000 euros avant de se faire rattraper par l’OCLCTIC.

From android to XobotOS

Voici un projet intéressant fait par une entreprise spécialisée dans dot.NET/Mono: XobotOS.

XobotOS est tout simplement un remplaçant de Dalvik/Java sous Androïd.

Pour ce faire ils ont utilisé sharpen, un compilateur de java en bytecode dot.NET (dalvik étant ecrit en java ça facilite drôlement les choses) et ré-adapté une partie « manuellement ».

Aux vue des test les performances font rêver 🙂 , ça pourrait être l’occasion de sortir les projets persos 😀

télécharger xobotOS sur github

Un cheval de troie Android qui utilise les senseurs de mouvements

Via SlashDot :

Des chercheurs de chez IBM et de l’Université de Pennsylvanie ont écrit un whitepaper (PDF) expliquant comment ils ont pu créer un cheval de troie pour Androïd capable de deviner ce que tape l’utilisateur (mots de passes etc) en se basant sur les mouvements du smartphone et ses senseurs.

Le document baptisé « TapLogger: Inferring User Inputs On Smartphone Touchscreens Using On-board Motion Sensors » reste très… académique. Vous préférerez peut-être lire l’article Android Kernel Rootkit publié dans Phrack 68.