Android : une faille de sécurité détectée dans le système de mise à jour de l'OS

Une faille de sécurité présente actuellement dans toutes les versions d'Android permet aux applications installées de disposer d'une potentielle élévation des privilèges lors d'une mise à jour de l'OS. Un constat réalisé par des chercheurs de Microsoft.

Android logo gb sq metal
Dans un rapport publié en fin de semaine dernière (PDF), des chercheurs de Microsoft et de l'université de l'Indiana mettent le doigt sur une faille de sécurité importante se trouvant au cœur d'Android, et plus précisément de son système de mise à jour. Ce dernier dispose à l'heure actuelle d'une vulnérabilité qui permet à certaines applications de se voir octroyer automatiquement l'autorisation d'utiliser certaines fonctionnalités du terminal, sans que l'utilisateur ne donne son aval.

Concrètement, lorsqu'une nouvelle fonctionnalité apparaît dans Android suite à une mise à jour de l'OS, l'autorisation d'accès à cette dernière peut être donnée aux applications qui l'intègrent, mais qui n'y avaient jusque-là pas accès car la précédente version d'Android ne la gérait pas. Les applications en question ne font alors pas l'objet d'une nouvelle validation des droits acquis par l'utilisateur : tout se fait à son insu. Ainsi, une application peut, suite à une mise à jour d'Android, disposer d'un nouveau droit de regard sur le contenu du smartphone, ou accéder à des données de géolocalisation supplémentaires, en toute discrétion.

Les chercheurs soulignent que la situation est risquée sur bien des points, et que des applications tentent même de profiter de cet avantage à l'insu de l'utilisateur. L'élévation des privilèges ouvre d'ailleurs la porte à l'installation de code malveillant sur le terminal : les chercheurs ont par ailleurs réussi à publier une application exploitant la faille sur plusieurs marchés d'app, incluant Google Play et l'appstore d'Amazon, sans aucune difficulté. L'application a, depuis, été supprimée.

L'étude des experts en sécurité indique la plupart des versions d'Android disponibles sur le marché sont actuellement touchées par la faille, y compris les versions proposées par les fabricants tiers, dont Samsung, HTC et LG. « Ces défauts affectent tous les appareils Android dans le monde, laissant planer une menace sur des milliards d'utilisateurs Android qui sont encouragés à mettre à jour leur système » explique le document.

En mettant en avant cette faille de sécurité, les chercheurs espèrent faire réagir Google ainsi que les entreprises qui exploitent une version modifiée d'Android. Mais pour corriger le problème, il faudra attendre d'hypothétiques mises à jour qui pourraient mettre du temps à arriver.
Modifié le 24/03/2014 à 13h23
Commentaires