Comme l’Oktoberfest est encore loin, des chercheurs de l’université d’Ulm, en Allemagne, sont allés voir comment Android traite les données des utilisateurs. La découverte n’est pas très bonne, non : un processus identifié par eux pourrait permettre aux criminels d’avoir accès à diverses informations.
Selon The Next Web, le problème se résume à la façon dont Android utilise le protocole d’authentification de Google pour extraire des informations du nuage sur les courriels, les contacts et les calendriers (appelé ClientLogin). Une fois que l’utilisateur a placé son nom d’utilisateur et son mot de passe, le système commence à envoyer des jetons en texte clair (notre cher texte clair), ce qui rend le travail d’interception beaucoup plus facile.
L’ampleur de cette faille de sécurité est de 99% des smartphones fonctionnant sous Android. En effet, il existe dans toutes les versions d’Android, de la première à la version 2.3.3. Les criminels pouvaient obtenir des données des utilisateurs jusqu’à 14 jours auparavant, à condition que cette communication soit basée sur des jetons en texte clair.
Pour exploiter pleinement le potentiel de cette lacune, il faut tout d’abord que l’appareil soit connecté à un réseau sans fil sans cryptage. Pour établir un parallèle, le vol de données pourrait se faire de manière similaire à Firesheep, qui détecte les données non protégées voyageant dans un réseau non protégé.
Google est déjà au courant de cette menace, qui a été corrigée dans la mise à jour Android de la version 2.3.4, dont la date de publication n’a pas encore été communiquée. Et qu’en est-il des utilisateurs des versions précédentes de la plate-forme mobile ? Pour l’instant, ce n’est pas le cas.