Une faille de sécurité présente actuellement dans toutes les versions d'Android permet aux applications installées de disposer d'une potentielle élévation des privilèges lors d'une mise à jour de l'OS. Un constat réalisé par des chercheurs de Microsoft.
Dans un rapport publié en fin de semaine dernière (PDF), des chercheurs de Microsoft et de l'université de l'Indiana mettent le doigt sur une faille de sécurité importante se trouvant au cœur d'Android, et plus précisément de son système de mise à jour. Ce dernier dispose à l'heure actuelle d'une vulnérabilité qui permet à certaines applications de se voir octroyer automatiquement l'autorisation d'utiliser certaines fonctionnalités du terminal, sans que l'utilisateur ne donne son aval.
Concrètement, lorsqu'une nouvelle fonctionnalité apparaît dans Android suite à une mise à jour de l'OS, l'autorisation d'accès à cette dernière peut être donnée aux applications qui l'intègrent, mais qui n'y avaient jusque-là pas accès car la précédente version d'Android ne la gérait pas. Les applications en question ne font alors pas l'objet d'une nouvelle validation des droits acquis par l'utilisateur : tout se fait à son insu. Ainsi, une application peut, suite à une mise à jour d'Android, disposer d'un nouveau droit de regard sur le contenu du smartphone, ou accéder à des données de géolocalisation supplémentaires, en toute discrétion.
Les chercheurs soulignent que la situation est risquée sur bien des points, et que des applications tentent même de profiter de cet avantage à l'insu de l'utilisateur. L'élévation des privilèges ouvre d'ailleurs la porte à l'installation de code malveillant sur le terminal : les chercheurs ont par ailleurs réussi à publier une application exploitant la faille sur plusieurs marchés d'app, incluant Google Play et l'appstore d'Amazon, sans aucune difficulté. L'application a, depuis, été supprimée.
L'étude des experts en sécurité indique la plupart des versions d'Android disponibles sur le marché sont actuellement touchées par la faille, y compris les versions proposées par les fabricants tiers, dont Samsung, HTC et LG. « Ces défauts affectent tous les appareils Android dans le monde, laissant planer une menace sur des milliards d'utilisateurs Android qui sont encouragés à mettre à jour leur système » explique le document.
En mettant en avant cette faille de sécurité, les chercheurs espèrent faire réagir Google ainsi que les entreprises qui exploitent une version modifiée d'Android. Mais pour corriger le problème, il faudra attendre d'hypothétiques mises à jour qui pourraient mettre du temps à arriver.
Audrey Oeillet
Journaliste mais geekette avant tout, je m'intéresse aussi bien à la dernière tablette innovante qu'aux réseaux sociaux, aux offres mobiles, aux périphériques gamers ou encore aux livres électroniques...
Journaliste mais geekette avant tout, je m'intéresse aussi bien à la dernière tablette innovante qu'aux réseaux sociaux, aux offres mobiles, aux périphériques gamers ou encore aux livres électroniques, sans oublier les gadgets et autres actualités insolites liées à l'univers du hi-tech.
Et comme il n'y a pas que les z'Internets dans la vie, j'aime aussi les jeux vidéo, les comics, la littérature SF, les séries télé et les chats. Et les poneys, évidemment.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
