Potentiellement, 900 millions de téléphones Android sont victimes d’une vulnérabilité critique. C’est ce qu’annonce le directeur technique de la société Bluebox Security.
Jeff Forristal explique qu’une « vulnérabilité dans le modèle de sécurité d’Android permet à un pirate de modifier le code APK sans casser la signature de chiffrement d’une application, pour transformer n’importe quelle application légitime en un malveillant cheval de Troie, complètement invisible aux yeux de l’App Store, du téléphone ou de l’utilisateur final ». Autrement dit, autoriser la modification des fonctionnalités d’une application sans que cette modification soit détectée.
Potentiellement, l’exploitation de cette brèche de sécurité permet donc à un attaquant de prendre le contrôle quasi-total du téléphone et de ses applications, du vol de données à l’installation d’un botnet en passant par la lecture des contenus (SMS, e-mails, documents, mots de passe…) ou le contrôle de la caméra.
Cette faille pour le moins inquiétante serait présente depuis la version 1.6 (Donut) d’Android. Autant dire que la quasi-totalité des terminaux sous la plate-forme de Google sont affectés. La démonstration sera faite, et discutée, lors de la conférence BlackHat 2013 fin juillet à Las Vegas. Visiblement, et heureusement, elle ne semble jamais avoir été exploitée massivement.
Autre point inquiétant, et paradoxal, « ce risque est aggravé si l’on considère que les applications développées par les fabricants de périphériques (…) ou par des tiers qui travaillent en collaboration avec le fabricant de l’appareil (par exemple Cisco AnyConnect VPN) bénéficient de privilèges élevés au sein Android ». Si même les applications livrées à l’origine et professionnelles ne sont pas fiables…
Bluebox indique avoir prévenu Google de cette vulnérabilité en février dernier. Il ne reste plus à ce dernier qu’à diffuser le correctif de la faille et assurer, via ses partenaires (constructeurs, opérateurs), et utilisateurs, de pousser et installer les mises à jour.
D’ici là (nombre d’utilisateurs ont déjà peut-être bénéficié de la mise à jour), la société de sécurité recommande aux utilisateurs d’être extrêmement prudents sur l’origine des applications qu’ils installent et à effectuer systématiquement les mises à jour système, particulièrement s’ils utilisent leurs terminaux à des fins professionnelles (BYOD, Bring Your Own Device). Quant aux responsables IT, l’affaire devrait les inciter à redoubler d’attention sur les solutions de sécurisation et intégrité des données de l’entreprise.
Crédit photo © © lucadp – shutterstock
Voir aussi
Quiz Silicon.fr – 4 ans d’Android !
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…