Si vous utilisez l’application d’émulation de terminal Termux sous Android, vous devriez vous assurer que l’application est à jour. Jusqu’à présent, la version sécurisée contre d’éventuelles attaques n’est disponible que sur Github ou dans l’Appstore F-Droid.
Termux permet par exemple de travailler avec des commandes en ligne de commande et de réaliser ainsi une sauvegarde de ses contacts sur un serveur distant via rsync. L’accès peut se faire via le client SSH intégré.
Sommaire
Attaques avec des droits d’accès root
Dans un message d’avertissement, les développeurs indiquent que dans la dernière version du logiciel, ils ont été confrontés à des problèmes de sécurité. version v0.118.0 ont corrigé plusieurs failles de sécurité. En raison d’une vérification insuffisante du chemin d’accès, les attaquants pourraient exécuter leurs propres commandes.
Dans certaines conditions, cela pourrait même fonctionner avec des droits root. Dans un tel cas, on peut imaginer que les pirates pourraient compromettre complètement les appareils. La faille existerait depuis la première publication de l’application en 2015.
L’exploitation réussie d’une autre faille de sécurité permettrait aux pirates d’accéder sans autorisation à certaines données. En raison des problèmes de sécurité, les développeurs indiquent que les clés SSH, par exemple, pourraient être compromises. Les utilisateurs doivent les supprimer et les réinitialiser après avoir installé la mise à jour de sécurité.
Pour l’instant, aucun numéro CVE n’est disponible pour les failles. De même, la classification du niveau de menace n’a pas encore été établie.
Le correctif n’est pas encore disponible partout
Les développeurs indiquent également que la mise à jour ne sera disponible que plus tard sur Google Play pour des raisons non précisées. Ceux qui utilisent l’application devraient supprimer cette version pour le moment et installer la version sécurisée de Github ou F-Droid.