Une faille qui pourrait bien être très problématique.
Une faille présente depuis plus de 4 ans sur le système d'exploitation Android a été découverte par des hackers. Pour faire simple, cette vulnérabilité permettrait à n'importe quelle personne malintentionnée de transformer un programme en un Trojan pour voler des données ou prendre contrôle du système d'exploitation.
Cette faille est présente depuis Android 1.6, et concerne donc l'immense majorité des appareils Android en circulation. Les détails exacts sur celle-ci seront présentés par des chercheurs de San Francisco de la société Bluebox Security lors d'une conférence sur la sécurité qui se tiendra plus tard en juillet.
Pour l'instant, une explication assez basique a été fournie :
La vulnérabilité vient de la façon dont les applications Android sont vérifiées, permettant à une personne de modifier un package (APK) sans casser la signature cryptographique.
Jeff Forristal, chef du département technologies chez Bluebox
Lorsqu'une application est installée, et qu'une sandbox est créée pour cela, Android enregistre la signature numérique de l'application. Toutes les mises à jour de cette dernière doivent nécessairement utiliser la même signature pour vérifier qu'elles proviennent bien du même auteur.
C'est important pour la sécurité d'Android de s'assurer que les données sensibles sont stockées par une application dans sa sandbox, et qu'elle n'est accessible que par le même auteur s'il dispose bien de la clé originale. La faille identifiée par les chercheurs permet donc de faire des mises à jour d'une application sans pour autant casser la clé originale, faisant ainsi croire au système que le correctif a été apporté par la personne qui a créé cette application.
Cette faille, qui existe depuis Android 1.6 (Donut), permettrait aussi bien de créer un botnet mobile qu'obtenir des accès complets au système ou encore voler des données.
Vous pouvez mettre à jour des composants du système si la mise à jour a la même signature que la plateforme. Le code malveillant aurait ainsi accès à tout : applications, données, comptes, mots de passe, réseaux. Il prendrait le contrôle de tout l'appareil.
Jeff Forristal, chef du département technologies chez Bluebox
Google a été notifié de cette faille en février dernier, en a informé ses partenaires commerciaux, mais n'a pas encore distribué de correctif pour la combler. Un seul smartphone n'est pas concerné par celle-ci, il s'agit du GALAXY S4, pour lequel Samsung a créé un patch.
Si Google travaille activement pour proposer un correctif pour sa gamme Nexus, beaucoup de téléphones non supportés n'auront pas cette chance. Ainsi, la faille risque de rester active sur de nombreux téléphones, notamment les plus anciens qui ne sont plus mis à jour par les constructeurs.
Si vous êtes dans ce cas, comment vous protéger contre cette vulnérabilité ? La solution la plus simple est de n'installer que des applications en provenance du Google Play. En effet, ce dernier a été patché, et toutes les applications qui s'y trouvent sont vérifiées. En revanche, il vaut mieux éviter d'installer des APK externes, même des mises à jour manuelles d'applications se trouvant sur le Store, car des logiciels malveillants pourraient alors prendre contrôle de votre appareil, et voler l'ensemble de vos données.