Android : une vulnérabilité toucherait 99% des smartphones

Le cabinet de sécurité Bluebox explique avoir découvert une vulnérabilité majeure au sein du système Android, laquelle serait susceptible d'affecter l'ensemble des smartphones à l'exception du Samsung Galaxy S4.

00B9000004962624-photo-android-malware-ver-worm-sq-gb-logo.jpg
Un groupe de chercheurs en sécurité explique sur leur site avoir repéré un bug au sein du modèle de sécurité des applications mis en place par Google. Ce dernier permettrait à une personne malintentionnée de modifier le contenu d'un fichier d'installation APK sans pour autant casser la signature de chiffrement. Concrètement celle-ci permettrait donc de remplacer une application légitime par un cheval de Troie.

Bluebox affirme sur son site : « cette vulnérabilité est présente depuis au moins la version 1.6 d'Android (au nom de code "Donut") et pourrait affecter n'importe quel téléphone sur Android sorti ces 4 dernières années ». Cela représenterait au total 900 millions d'appareils. Interrogé par le magazine CIO, le directeur technique de Bluebox Jeff Forristal précise qu'à l'heure actuelle seul le Samsung Galaxy S4 fait figure d'exception, ce qui signifie qu'un patch a bel et bien été développé.

Toutes les applications Android disposent d'une signature chiffrée, laquelle est utilisée par le système afin de vérifier la légitimité de ces dernières. En exploitant cette vulnérabilité, il serait donc possible d'insérer n'importe quel type de malware qu'il s'agisse d'un outil envoyant des SMS surtaxés ou un mouchard récupérant des informations personnelles. Rappelons cependant que la menace provient principalement des plateformes de téléchargement autres que celle de Google Play ce qui signifie qu'il faudra préalablement avoir désactivé cette limite dans les paramètres.

Bluebox affirme avoir prévenu Google au mois de février mais à l'heure actuelle aucun patch n'a été déployé par les constructeurs. Les détails de cette vulnérabilité seront rendus publics à l'occasion du sommet BlackHat USA 2013 qui se déroulera du 27 juillet au 1er août. Reste à savoir si un correctif sera proposé d'ici là.


Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Hébergement de site Internet : quelle solution choisir ?
Hyundai Ioniq 5 : premières impressions à bord de l'impressionnant Project 45
Test Proscenic M8 Pro : un bon aspirateur robot qui pêche par son logiciel
Vaccination anti COVID-19 : des RDV sont ouverts sur Doctolib pour les plus de 18 ans
Créez des paysages à couper le souffle à partir de vos clichés avec Luminar AI
Antivirus Mac : Protégez votre Mac à 53% moins cher avec Intego (offre limitée)
Economisez 83% avec le deal de CyberGhost, le meilleur VPN en 2021
Electronic Arts annonce son événement estival et snobe l'E3 2021
Xbox : la mise à jour de mai améliore la fonctionnalité Quick Resume
Haut de page