ReKey : un patch alternatif et temporaire pour la faille « Master Key »
par Bérenger Lieber… Appareils rootés uniquement !
Il y a une semaine, Google expliquait avoir bouché la faille « Master Key », qui autorisait le comportement malicieux de n'importe quelle application un tant soit peu que le code de son apk ait été bidouillé. Apparue il y a 4 ans de cela, elle toucherait 99 % des utilisateurs Android, sauf ceux équipés d'un terminal Google (Android AOSP) ou d'un GALAXY S4 qui lui est déjà immunisé.
Pour contrer ce fléau, les experts en sécurité de chez Bluebox – société qui avait notifié Google de la faille – ont de leur côté sorti une application (Bluebox Security Scanner) permettant de vérifier si le terminal est vulnérable ou non. Ainsi, les utilisateurs les plus frileux peuvent choisir de migrer vers une ROM plus sûre, comme CyanogenMOD, où la faille a également été bouchée. L'application indique en plus de cela si une application tire parti d'une autre vulnérabilité présente dans le système.
Aujourd'hui, une autre solution est déployée, celle-ci est proposée par une collaboration entre deux groupes de recherche, Duo Security et NEU SecLab. Elle ne se contente pas d'informer l'utilisateur si le terminal est vulnérable, mais propose aussi de patcher la faille. Pour ce faire, il suffit d'installer l'application ReKey (attention, seulement pour les appareils rootés), de la lancer et de lui octroyer l'accès ROOT. Ainsi, l'outil injectera du code pour combler la faille, en attendant que votre opérateur ou fabricant ne tarde à déployer lui-même un correctif.
Les utilisateurs inquiets de la sécurité de leur terminal peuvent également télécharger X-Ray, un outil développé par Duo Security qui scanne l'appareil en vue de déterminer si des vulnérabilités récentes sont toujours présentes sur l'appareil.
De ce côté-là, il est assez regrettable que des développeurs prennent eux-mêmes les choses en mains, alors que les différents acteurs sus-cités prennent trop de temps pour protéger l'utilisateur lambda via des mises à jour dont le rythme laisse à désirer. Quoi qu'il en soit, les utilisateurs intéressés pourront retrouver l'application ReKey en cliquant sur le lien de téléchargement ci-dessous.
Si vous parlez la langue de Shakespeare, sachez que les développeurs ont publié une vidéo, où ils expliquent leurs motivations et présentent le fonctionnement de ReKey :
