Une importante faille de sécurité, surnommée « Fake ID » et présente dans Android depuis 2010 vient d'être rendue publique. Google assure qu'elle est désormais corrigée, sans avoir jamais été exploitée à des fins malhonnêtes..
Bluebox, un éditeur spécialiste de la sécurité mobile, vient de rendre publique une faille de sécurité découverte par ses soins en début d'année. Il la surnomme Fake ID et la considère comme l'une des plus importantes vulnérabilités ayant jamais frappé le système d'exploitation mobile de Google. Son existence remonte en effet à la version 2.1 d'Android, en 2010, ce qui fait que des centaines de millions de téléphones auraient pu en être victimes ces dernières années.
De quoi s'agit-il ? Cette faille de sécurité permet à une application d'usurper la signature électronique d'un autre logiciel et donc d'accéder aux privilèges alloués à ce dernier. Dans un billet de blog présentant ses travaux, Bluebox prend l'exemple d'un malware qui s'attribuerait l'identité associée à Google Wallet, le portefeuille électronique intégré à Android et gagnerait ainsi un accès direct aux informations de paiement de l'utilisateur. En usurpant les outils de gestion de terminaux destinés aux entreprises, il pourrait même permettre la prise de contrôle intégrale de l'appareil à distance. Bref, de quoi faire froid dans le dos.
L'existence de cette faille a été révélée à Google en avril. Le moteur de recherche, qui fait régulièrement appel à des tiers pour auditer la sécurité de ses produits, affirme avoir rapidement émis un correctif en direction de tous les constructeurs de l'univers Android, de façon à ce que ces derniers mettent à jour leurs terminaux. Dans le même temps, il indique avoir procédé à un examen attentif des applications hébergées sur Google Play ou à l'extérieur, sans avoir pu trouver la moindre trace d'une tentative d'exploitation de cette vulnérabilité.
La plupart des terminaux mis à jour vers Android 4.4 KitKat sont logiquement protégés. Pour les autres, il est conseillé, comme toujours sur Android, d'installer les dernières mises à jour disponibles, de ne télécharger que des applications en provenance du magasin officiel (Google Play) et de vérifier quelles sont les permissions demandées par un programme à l'installation. Bluebox présentera plus avant les modalités d'exploitation de cette faille lors de la conférence Black Hat, début août à Las Vegas.
Alexandre Laurent
Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech,...
Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet.
Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
