Sécurité : Android victime d'une vulnérabilité critique
Potentiellement, 900 millions de téléphones Android sont victimes d'une vulnérabilité critique. C'est ce qu'annonce le directeur technique de la société Bluebox Security.
Modification du code incognito
Jeff Forristal explique qu'une « vulnérabilité dans le modèle de sécurité d'Android permet à un pirate de modifier le code APK sans casser la signature de chiffrement d'une application, pour transformer n'importe quelle application légitime en un malveillant cheval de Troie, complètement invisible aux yeux de l'App Store, du téléphone ou de l'utilisateur final ». Autrement dit, autoriser la modification des fonctionnalités d'une application sans que cette modification soit détectée.
Potentiellement, l'exploitation de cette brèche de sécurité permet donc à un attaquant de prendre le contrôle quasi-total du téléphone et de ses applications, du vol de données à l'installation d'un botnet en passant par la lecture des contenus (SMS, e-mails, documents, mots de passe.) ou le contrôle de la caméra.
Depuis Donut
Cette faille pour le moins inquiétante serait présente depuis la version 1.6 (Donut) d'Android. Autant dire que la quasi-totalité des terminaux sous la plate-forme de Google sont affectés. La démonstration sera faite, et discutée, lors de la conférence BlackHat 2013 fin juillet à Las Vegas. Visiblement, et heureusement, elle ne semble jamais avoir été exploitée massivement.
Autre point inquiétant, et paradoxal, « ce risque est aggravé si l'on considère que les applications développées par les fabricants de périphériques (.) ou par des tiers qui travaillent en collaboration avec le fabricant de l'appareil (par exemple Cisco AnyConnect VPN) bénéficient de privilèges élevés au sein Android ». Si même les applications livrées à l'origine et professionnelles ne sont pas fiables.
Mise à jour indispensable
Bluebox indique avoir prévenu Google de cette vulnérabilité en février dernier. Il ne reste plus à ce dernier qu'à diffuser le correctif de la faille et assurer, via ses partenaires (constructeurs, opérateurs), et utilisateurs, de pousser et installer les mises à jour.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
D'ici là (nombre d'utilisateurs ont déjà peut-être bénéficié de la mise à jour), la société de sécurité recommande aux utilisateurs d'être extrêmement prudents sur l'origine des applications qu'ils installent et à effectuer systématiquement les mises à jour système, particulièrement s'ils utilisent leurs terminaux à des fins professionnelles (BYOD, Bring Your Own Device). Quant aux responsables IT, l'affaire devrait les inciter à redoubler d'attention sur les solutions de sécurisation et intégrité des données de l'entreprise.
Crédit photo © © lucadp - shutterstock
Voir aussi
Sur le même thème
Voir tous les articles Workspace