wiki:securite:menaces:yandex_metrica
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Prochaine révision | Révision précédente | ||
| wiki:securite:menaces:yandex_metrica [2025/06/14 12:55] – créée palas | wiki:securite:menaces:yandex_metrica [2025/06/14 13:12] (Version actuelle) – palas | ||
|---|---|---|---|
| Ligne 19: | Ligne 19: | ||
| Ce type de contournement ne repose ni sur une faille critique ni sur un bug, mais sur un comportement structurel d’Android. Le système permet à n’importe quelle application disposant de l’autorisation « Internet » (ce qui est quasiment toujours le cas) d’écouter du trafic réseau sur l’adresse locale 127.0.0.1 sans restriction, | Ce type de contournement ne repose ni sur une faille critique ni sur un bug, mais sur un comportement structurel d’Android. Le système permet à n’importe quelle application disposant de l’autorisation « Internet » (ce qui est quasiment toujours le cas) d’écouter du trafic réseau sur l’adresse locale 127.0.0.1 sans restriction, | ||
| + | |||
| + | Pendant des mois, les principaux navigateurs Android (Chrome, Edge, Firefox) ont exécuté les scripts concernés sans bloquer ce type de comportement. Seuls Brave et DuckDuckGo filtraient déjà les connexions aux ports locaux sensibles ou les domaines connus pour ce genre d’usage. Ce n’est que fin mai 2025 que Google a intégré un correctif dans Chrome 137 pour bloquer certains ports et limiter les abus liés à la modification des messages SDP dans WebRTC (le fameux « SDP munging »). | ||
| + | |||
| + | |||
| (lire l' | (lire l' | ||
| + | |||
| + | |||
| + | <ifauth @contrib> | ||
| + | ---- | ||
| + | Nombre de visiteurs : {{counter}} | ||
| + | ---- | ||
| + | </ | ||
wiki/securite/menaces/yandex_metrica.1749905720.txt.gz · Dernière modification : de palas