Les chercheurs de Bluebox affirment avoir découvert une faille de sécurité dans Android qui existe depuis au moins quatre ans, depuis la version 1.6 Donut. Cette vulnérabilité, qui permet d’installer des applications malveillantes sur le smartphone de l’utilisateur, pourrait affecter jusqu’à 900 millions d’appareils, selon la société.
Il fonctionne de la manière suivante : par mesure de sécurité, Android vérifie les clés de cryptage des applications pour s’assurer qu’elles n’ont pas subi d’injection de code malveillant ; si les clés sont modifiées, la mise à jour est bloquée. En cas de panne, vous pouvez modifier l’application sans casser ces clés de sécurité, ce qui entraîne l’infection de l’appareil par un logiciel considéré comme légitime.
Selon la Bluebox, cela permet un certain nombre d’attaques : une personne malveillante peut voler des données ou même créer un réseau de zombies pour smartphones, pour attaquer des serveurs ou envoyer du spam. Sur certains appareils, un cheval de Troie ayant un accès complet au système peut capturer des mots de passe, passer des appels sans le consentement de l’utilisateur et enregistrer les appels.
Mais la Bluebox n’explique toujours pas comment l’attaque peut se produire en pratique. Selon The Verge, il n’est pas possible de profiter de la faille en utilisant Play Store, puisque Google a mis à jour le magasin. L’utilisateur peut être infecté s’il utilise des magasins d’applications tiers ou touche des liens malveillants et que l’option “Installer une application de source inconnue” est activée.
Plus de détails sur cet échec devraient être présentés lors de la conférence Black Hat à Las Vegas à la fin du mois. Selon le directeur technique de Bluebox, Jeff Forristal, la vulnérabilité n’est plus présente dans Galaxy S4, mais étrangement, Google travaillerait encore sur une correction du Nexus.