Android: des chercheurs alertent sur une faille de faux ‘pop-ups’

Deux spécialistes en sécurité informatique viennent de déclarer avoir mis à jour une faille qui permet de faire apparaître de faux ‘pop-ups’ dans des applications « standards » fonctionnant sur le système d’exploitation Android de Google.

Selon ces spécialistes chercheurs et développeurs, le système d’exploitation de Google contient une faille qui peut permettre à des pirates sur Internet de voler des données.  Sean  Schulte, développeur spécialiste de SSL chez Trustwave, et Nicholas Percoco, responsable du labo SpiderLabs dans cette même société, avertissent que cette faille est à prendre très au sérieux car cette « faille dans la conception de l’OS » (design flaw) pourrait être utilisée pour pratiquer du ‘phishing‘ – ou ameçonnage d’internautes pour leur subtiliser des codes confidentiels ou des mots de passe ou toutes informations sensibles, mais également par des annonceurs peu scrupuleux ou des vendeurs de produits ‘low cost’ ou illicites.
L’impact de ces messages peut être d’autant plus nuisible qu’ils peuvent être introduits sous forme de ‘pop-ups’ – soulignent-ils.

Les deux spécialistes en sécurité expliquent qu’un ‘hacker’ pourrait créer une application apparemment « normale » et « légitime » sous Android, capable de faire illusion, comme un message envoyé par un service bancaire ou, pire, un processus de ‘log-in’ tout à fait « correct » derrière un faux document imitant parfaitement celui d’une banque ou d’un service payant, par exemple.
Cet avertissement a été publié lors d’une interview de Nicholas Percoco sur CNET, et commenté par notre confrère eWeekEurope, qui a résumé l’intervention qu’il devait faire aux Etats-Unis lors de la conférence DefCon de Las Vegas, et qu’il a intitulée “Focus stealing vulnerability” (cf. article: ‘Security researchers warn of Android design flaw‘

Jusqu’ici Android fonctionne de telle façon que si une application veut envoyer une notification à un utilisateur qui a déjà ouvert une autre application, une alerte peut apparaître dans la barre des menus en haut de l’écran. Et selon les deux chercheurs en sécurité, il existe une API (interface de programmation) dans le SDK d’Android (boîte à outils pour développeurs) permettant de créer des fenêtres ‘pop-ups’ venant se substituer à une application en tâche de fond. En pratique, « Android permet un « override » de commandes standards faisant appel aux boutons en arrière plan (‘back buttons)« .

Les deux spécialistes annoncent qu’ils ont prévu un « proof of concept », une démonstration reposant sur un jeu pour étayer leurs affirmations. La démo reconstituerait un accès payant à un jeu via Facebook. Mais, selon leurs auteurs, cette application de démo peut aussi bien fonctionner sur Amazon, Google Voice ou tout client de la messagerie ‘Google mail’.

Les deux experts déclarent que Google a été averti il y a plusieurs semaines. Et Google a répondu la semaine dernière qu’il existe un moyen de contourner cette faille et qu’un correctif est en cours de développement, lequel permettrait d’y remédier sans affecter les fonctionnalités des applications déjà développées.

Récemment, un autre spécialiste de sécurité informatique, Lookout Mobile Security, avait alerté sur des risques de sécurité inhérents à Android: cf. notre récent article: ‘Un million de smartphones Android victimes d’un malware‘.
Et, pour sa part, l’édition 2011 du rapport Mobile Threat estime qu’un équipement fonctionnant sous Android serait deux fois et demie plus exposé à un risque de ‘malware’ que six mois auparavant. Le même rapport explique que 30% des utilisateurs de systèmes sous ‘Android sont exposés à une menace sur le Web par an, et relève que de 80 applications infestées de ‘malwares’ en janvier 2011, on serait passé à plus de 400 six mois plus tard…