Une faille dans Chrome installe à distance des applications sur Android

Tous les smartphones et tablettes équipés de Chrome, ou d’une version récente de l’OS, sont sous la menace d’une faille permettant d’y installer des applications sans intervention de l’utilisateur.

Dans le cadre du concours MobilePwn2Own organisé lors de la conférence PacSec de Tokyo (Japon), des experts en sécurité chinois ont dévoilé une faille inédite touchant le système d’exploitation mobile Android.

Une vulnérabilité dans le moteur JavaScript v8, utilisé par le navigateur web Google Chrome, mais aussi par le butineur proposé par défaut avec les versions modernes d’Android, permet d’installer des applications à distance, sans intervention de la part de l’utilisateur.

Google a confirmé que cette faille touche tous les smartphones Android équipés d’une version à jour de Chrome. Le moteur de rendu web intégré à Android est probablement lui aussi touché, ce qui rend cette faille exploitable sur la quasi-intégralité des smartphones et tablettes en circulation.

Une sécurité à améliorer

Cette faille remet sur le tapis la question de la sécurité d’Android, trop relâchée selon les spécialistes de la sécurité. Certes, Google a maintenant séparé les updates du navigateur de celles du système, afin d’en assurer lui même les mises à jour. Les constructeurs doivent toutefois également jouer le jeu, en s’occupant sans délai de la partie système des correctifs de sécurité.

Les constructeurs doivent donc revoir leur stratégie. De fait, si les téléphones d’antan ne posaient pas de problème critique en matière de sécurité, les smartphones modernes sont souvent le réceptacle de toute la vie numérique de leurs utilisateurs.

À lire aussi :
Les smartphones 4G sous Cyanogen OS débarquent en France
Chrome abandonnera Windows XP et Vista en avril 2016
Firefox OS 2.5 sur les terminaux Android. Et en solo ?