Une vuln\u00e9rabilit\u00e9 critique<\/strong> dans un kit de d\u00e9veloppement logiciel (SDK) tiers populaire pour Android a mis en danger des dizaines de millions de portefeuilles de cryptomonnaie, les rendant vuln\u00e9rables au vol de donn\u00e9es. Ce constat provient d’un rapport r\u00e9cemment publi\u00e9 par l’\u00e9quipe de recherche en s\u00e9curit\u00e9 de Microsoft Defender<\/strong>.<\/p>\n Cette faille a permis \u00e0 des applications malveillantes de contourner le bac \u00e0 sable de s\u00e9curit\u00e9 d’Android<\/strong>. L’\u00e9cosyst\u00e8me des cryptomonnaies et des portefeuilles num\u00e9riques a \u00e9t\u00e9 particuli\u00e8rement touch\u00e9 en raison de la valeur \u00e9lev\u00e9e des donn\u00e9es<\/strong> stock\u00e9es. Microsoft a identifi\u00e9 plus de 30 millions d’installations<\/strong> d’applications de portefeuilles crypto tiers affect\u00e9es, avec une exposition totale d\u00e9passant 50 millions d’installations<\/strong>.<\/p>\n Si elle avait \u00e9t\u00e9 exploit\u00e9e, cette vuln\u00e9rabilit\u00e9 aurait pu compromettre des informations personnellement identifiables (PII)<\/strong>, des identifiants d’utilisateur priv\u00e9s et des donn\u00e9es financi\u00e8res sensibles, stock\u00e9es dans les r\u00e9pertoires priv\u00e9s des applications concern\u00e9es. Heureusement, Microsoft a pr\u00e9cis\u00e9 qu’il n’existe actuellement aucune preuve<\/strong> sugg\u00e9rant que cette vuln\u00e9rabilit\u00e9 ait \u00e9t\u00e9 exploit\u00e9e activement par des acteurs malveillants.<\/p>\n Le SDK EngageLab<\/strong>, utilis\u00e9 par les d\u00e9veloppeurs pour g\u00e9rer les notifications push et la messagerie en temps r\u00e9el dans les applications, est \u00e0 l’origine de cette faille de s\u00e9curit\u00e9. Celle-ci a \u00e9t\u00e9 retrac\u00e9e \u00e0 un composant sp\u00e9cifique (MTCommonActivity<\/strong>) qui \u00e9tait automatiquement ajout\u00e9 au code de fond d’une application apr\u00e8s le processus de construction.<\/p>\n \u00c9tant donn\u00e9 que ce composant \u00e9tait largement export\u00e9, il est devenu accessible \u00e0 d’autres applications install\u00e9es sur le m\u00eame appareil Android. Une application malveillante install\u00e9e sur le m\u00eame appareil pouvait alors cr\u00e9er un message manipul\u00e9 (un \u00ab\u00a0intent\u00a0\u00bb<\/em>) et l’envoyer \u00e0 l’application de portefeuille crypto vuln\u00e9rable. Cette derni\u00e8re traitait l’intent en utilisant sa propre identit\u00e9 et ses permissions de confiance, trompant ainsi le portefeuille et accordant \u00e0 l’application malveillante un acc\u00e8s en lecture et \u00e9criture persistant<\/strong> \u00e0 ses r\u00e9pertoires de donn\u00e9es priv\u00e9es.<\/p>\n Des mesures rapides<\/strong> ont \u00e9t\u00e9 mises en place dans tout l’\u00e9cosyst\u00e8me Android pour att\u00e9nuer cette menace.<\/p>\n","protected":false},"excerpt":{"rendered":" Vuln\u00e9rabilit\u00e9 critique dans un SDK Android Une vuln\u00e9rabilit\u00e9 critique dans un kit de d\u00e9veloppement logiciel (SDK) tiers populaire pour Android a mis en danger des dizaines de millions de portefeuilles de cryptomonnaie, les rendant vuln\u00e9rables au vol de donn\u00e9es. Ce constat provient d’un rapport r\u00e9cemment publi\u00e9 par l’\u00e9quipe de recherche en s\u00e9curit\u00e9 de Microsoft Defender. Impact sur l’\u00e9cosyst\u00e8me des cryptomonnaies Cette faille a permis \u00e0 des applications malveillantes de contourner le bac \u00e0 sable de s\u00e9curit\u00e9 d’Android. L’\u00e9cosyst\u00e8me des cryptomonnaies et des portefeuilles num\u00e9riques a \u00e9t\u00e9 particuli\u00e8rement touch\u00e9 en raison de la valeur \u00e9lev\u00e9e des donn\u00e9es stock\u00e9es. Microsoft a identifi\u00e9<\/p>\n","protected":false},"author":3,"featured_media":14535,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[55,65,415],"class_list":["post-14536","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-android","tag-hack","tag-microsoft"],"yoast_description":"Une vuln\u00e9rabilit\u00e9 majeure d'Android a expos\u00e9 des millions de portefeuilles crypto au vol de donn\u00e9es, affectant plus de 30 millions d'installations d'applications tierces.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/14536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=14536"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/14536\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/14535"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=14536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=14536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=14536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Impact sur l’\u00e9cosyst\u00e8me des cryptomonnaies<\/h2>\n
Origine de la faille de s\u00e9curit\u00e9<\/h2>\n
Mesures d’att\u00e9nuation<\/h2>\n