crédit photo © lucadp - shutterstock
Potentiellement, 900 millions de téléphones Android sont victimes d’une vulnérabilité critique. C’est ce qu’annonce le directeur technique de la société Bluebox Security.
Jeff Forristal explique qu’une « vulnérabilité dans le modèle de sécurité d’Android permet à un pirate de modifier le code APK sans casser la signature de chiffrement d’une application, pour transformer n’importe quelle application légitime en un malveillant cheval de Troie, complètement invisible aux yeux de l’App Store, du téléphone ou de l’utilisateur final ». Autrement dit, autoriser la modification des fonctionnalités d’une application sans que cette modification soit détectée.
Potentiellement, l’exploitation de cette brèche de sécurité permet donc à un attaquant de prendre le contrôle quasi-total du téléphone et de ses applications, du vol de données à l’installation d’un botnet en passant par la lecture des contenus (SMS, e-mails, documents, mots de passe…) ou le contrôle de la caméra.
Cette faille pour le moins inquiétante serait présente depuis la version 1.6 (Donut) d’Android. Autant dire que la quasi-totalité des terminaux sous la plate-forme de Google sont affectés. La démonstration sera faite, et discutée, lors de la conférence BlackHat 2013 fin juillet à Las Vegas. Visiblement, et heureusement, elle ne semble jamais avoir été exploitée massivement.
Autre point inquiétant, et paradoxal, « ce risque est aggravé si l’on considère que les applications développées par les fabricants de périphériques (…) ou par des tiers qui travaillent en collaboration avec le fabricant de l’appareil (par exemple Cisco AnyConnect VPN) bénéficient de privilèges élevés au sein Android ». Si même les applications livrées à l’origine et professionnelles ne sont pas fiables…
Bluebox indique avoir prévenu Google de cette vulnérabilité en février dernier. Il ne reste plus à ce dernier qu’à diffuser le correctif de la faille et assurer, via ses partenaires (constructeurs, opérateurs), et utilisateurs, de pousser et installer les mises à jour.
D’ici là (nombre d’utilisateurs ont déjà peut-être bénéficié de la mise à jour), la société de sécurité recommande aux utilisateurs d’être extrêmement prudents sur l’origine des applications qu’ils installent et à effectuer systématiquement les mises à jour système, particulièrement s’ils utilisent leurs terminaux à des fins professionnelles (BYOD, Bring Your Own Device). Quant aux responsables IT, l’affaire devrait les inciter à redoubler d’attention sur les solutions de sécurisation et intégrité des données de l’entreprise.
Crédit photo © © lucadp – shutterstock
Voir aussi
Quiz Silicon.fr – 4 ans d’Android !
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…