Un chercheur en sécurité a découvert une faille sur Android qui permet d’effectuer de l’in-app purchase gratuitement. Il l’évoque sur son blog.
La bibliothèque d’achats in-app de Google sous Android a subi un hack de la part d’un chercheur en sécurité, qui a réussi à se faire passer pour le service de facturation de Google et de récupérer tout type d’achat in-app, sans débourser le moindre centime.
Cette technique, finalement assez simple, consiste à faire croire à l’application que vous êtes le service de facturation de Google et ce, grâce à une simple modification dans le code source d’Android. Le chercheur a tout de même informé Google du bug ainsi que les développeurs des applications concernées par le problème. Mais en réponse à sa bonne action, l’ingénieur regrette de n’avoir reçu aucune rétribution ni même un remerciement de la part de la firme de Mountain View. C’est donc en homme déçu que l’homme qui répond au nom de Dominik a décidé de publier le hack sur son blog et d’informer de toutes les failles découvertes afin que tout le monde puisse en profiter.
Depuis, le bug a été corrigé par Google mais rien ne prouve que le Play Store soit à l’abri à l’avenir d’une nouvelle faille de ce type.
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
MEEERDE j''en ai pas profiter ! :(
Le problème ne vient absolument de Android, mais uniquement du Play Store de Google qui ne fait pas parti de Android.
De ton point de vue "Utilisateur basique", ça ne te touche même pas, en fait. Les seuls que ça dérange, ce sont les développeurs, et Google, qui ne touchent pas d'argent. Donc pas de problème de sécurité ici.
ok sympa d'avoir répondu.
Google ne peut pas vérifier le code de toutes les applis, bien évidemment. Comme "utilisateur basique", tu ne verras jamais cette faille vu que tu n'installeras pas l'appli du monsieur en question, c'est donc invisible pour toi. Les pirates peuvent pirater les applis mal codées, cela n'a rien de nouveau, Google n'est pas la nounou des mauvais développeurs!
oui je comprends ce que tu dis, par contre de mon point de vue "utilisateur basique" sans aucune connaissance, il y a bien faille (bien qu’apparemment pas du fait d'android mais du dev des applis). Du coup, google devrait vérifier ce point là avant de valider les applis sur son store.
Est-ce que l'auteur sait de quoi il parle? (pourquoi mon précédent commentaire est il censuré?) "grâce à une simple modification dans le code source d’Android" => Bien non perdu, le code source d'Android n'est pas modifié, sinon, il n'aurait aucun effet sur les devices vendus... "rien ne prouve que le Play Store soit à l’abri à l’avenir d’une nouvelle faille de ce type" => Bien le Play Store n'utilisant pas d'appel au Play Service, c'est rien à voir... "faire croire à l’application que vous êtes le service de facturation de Google " => Bien non, c'est juste que l'application ne vérifie pas les signature, contrairement aux recommandations Google dans la doc Android... D'ailleurs, seules quelques applis développées avec les pieds sont touchées!
et dire qu'il parait qu'android est le système le plus sécurisé : http://www.cnetfrance.fr/news/android-plus-securise-que-l-iphone-selon-eric-schmidt-39794646.htm ça fait peur...
Pratique pour plante vs zombie 2 ...
Le hack ne fonctionne que si le jeux fait confiance au device.. Ce qui est totalement illusoire (même sur IOS bien plus fermé qu'android il existe des hacks de ce type) D'ailleurs : Billing Security Best Practices : N°1 : Perform signature verification tasks on a server (http://developer.android.com/google/play/billing/billing_best_practices.html) En gros ce hack ne fonctionne qu'avec les appli qui ne respecte pas cette règle, je comprends pourquoi google n'est pas prêt à payer pour ça ... Après clairement il a trouvé un moyen super simple de le faire,bravo, mais au final le résultat est le même...
Quelqu'un a essayer de recompiler l'apply avec lequel il la fait ? Et c'est mieux que freedom ? <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour tablette</a></i>
Exactement, Google a de tres gros moyens financiers et aurait pu le remercier officielement avec un bon job ou au moins cadeau materiel, il a raison de ce sentir mal recompenser pour son travail
Parceque le hack était connu d'avant...
"grâce à une simple modification dans le code source d’Android" Savez vous de quoi vous parlez? Une modification dans le code source d'Android veut dire qu'il tournerait sur une ROM custo et qu'aucun téléphone sur le marché ne serait attaquable. De plus, les Google Play Services sont indépendants du code d'Android... Les fautes d'orthographe, passe encore (quoi que cela lasse un peu) mais de telles erreurs ca devient lourd...
et heureusement parce que quelques fois on paye le jeu puis on doit ENCORE faire des achats in-app pour pouvoir progresser dans le jeu.
Il parle d'abord du fait que Google a refusé de le nommer dans la communication qu'ils ont fait sur le bug. C'est surtout ça qui le gène, avant l'"oubli" de la récompense pour le bug. Corriger un bug de sécurité aussi important, pour une boite comme Google, ça peut être un bon argument pour chercher un boulot, par exemple.
le hack des payements ''in-app'' existe depuis plus d'1 an déja...
C'est pas de l'open-source. Les Play Services n'ont rien d'ouverts. Et un "Merci" n'a jamais écorché la bouche… et aurait pu aider le mec dans une potentielle recherche de boulot ou autre.
Bah normal, c'est une grosse firme et il veut de la reconaissance pour peut être trouver un meilleur job et c'est normal. Surtout pour une faille de securité aussi grande que celle là. Si elle venait à se democratiser tu pense que combien de sociétés en auraient pati vu que l'on s'attaque directemnt à leur business model? Là google lui doit au minimum un grand remerciement
C'est pas dur d'envoyer même un simple mail type de remerciement
De l'argent n'aurait pas forcément été bienvenu, mais l'absence d'un simple "merci" m'étonne un peu.
Ouais sympa, puis faudrait aussi remercier tous les contributeurs open source, tous ceux qui participent a GNU/Linux, etc ... C'est de l'open source, on le fait par esprit communautaire, la le gars a d'abord chercher le pognon ... faut pas l'oublier donc moi je le plaint pas
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix