Fake ID : Android exposé à une faille de sécurité majeure depuis 2010

01 juin 2018 à 15h36
0
Une importante faille de sécurité, surnommée « Fake ID » et présente dans Android depuis 2010 vient d'être rendue publique. Google assure qu'elle est désormais corrigée, sans avoir jamais été exploitée à des fins malhonnêtes..

00B4000005525541-photo-android-logo.jpg
Bluebox, un éditeur spécialiste de la sécurité mobile, vient de rendre publique une faille de sécurité découverte par ses soins en début d'année. Il la surnomme Fake ID et la considère comme l'une des plus importantes vulnérabilités ayant jamais frappé le système d'exploitation mobile de Google. Son existence remonte en effet à la version 2.1 d'Android, en 2010, ce qui fait que des centaines de millions de téléphones auraient pu en être victimes ces dernières années.

De quoi s'agit-il ? Cette faille de sécurité permet à une application d'usurper la signature électronique d'un autre logiciel et donc d'accéder aux privilèges alloués à ce dernier. Dans un billet de blog présentant ses travaux, Bluebox prend l'exemple d'un malware qui s'attribuerait l'identité associée à Google Wallet, le portefeuille électronique intégré à Android et gagnerait ainsi un accès direct aux informations de paiement de l'utilisateur. En usurpant les outils de gestion de terminaux destinés aux entreprises, il pourrait même permettre la prise de contrôle intégrale de l'appareil à distance. Bref, de quoi faire froid dans le dos.

L'existence de cette faille a été révélée à Google en avril. Le moteur de recherche, qui fait régulièrement appel à des tiers pour auditer la sécurité de ses produits, affirme avoir rapidement émis un correctif en direction de tous les constructeurs de l'univers Android, de façon à ce que ces derniers mettent à jour leurs terminaux. Dans le même temps, il indique avoir procédé à un examen attentif des applications hébergées sur Google Play ou à l'extérieur, sans avoir pu trouver la moindre trace d'une tentative d'exploitation de cette vulnérabilité.

La plupart des terminaux mis à jour vers Android 4.4 KitKat sont logiquement protégés. Pour les autres, il est conseillé, comme toujours sur Android, d'installer les dernières mises à jour disponibles, de ne télécharger que des applications en provenance du magasin officiel (Google Play) et de vérifier quelles sont les permissions demandées par un programme à l'installation. Bluebox présentera plus avant les modalités d'exploitation de cette faille lors de la conférence Black Hat, début août à Las Vegas.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

HTC One A9 : le faux jumeau de l'iPhone 6
Le créateur du Bitcoin n’est finalement pas celui que l’on croyait
Black Friday : elle achète un iPhone 6 et se retrouve avec des patates
On Refait le Mac : premières impressions sur l'iPhone 6
Infos US de la nuit : incertitudes sur la date de lancement de l'iPhone 6
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
De Facebook... à Sexebook, réseau social coquin ?
Netflix perdra Starz fin février 2012
Haut de page