Des chercheurs en sécurité de Bluebox Labs jette de nouveau un pavé dans la marre. Ce dernier affirme avoir trouvé une faille permettant d’installer un cheval de Troie très facilement et récupérer les droits root sans que personne ne s’en aperçoive. Résultat, un méchant pirate pourrait récupérer toutes vos données personnelles et prendre le contrôle de votre smartphone. Cette faille existerait depuis Android 1.6 (Donut) et toucherait près 900 millions d’appareils !
J’ai dû mal à y croire, mais il semblerait que ce soit vrai.
Comment ça marche ? Un développeur mal-attentionné aurait la possibilité de modifier le code d’un fichier APK original/légitime sans casser sa signature cryptographique… et de passer ainsi complètement inaperçu pour le téléphone ou encore l’utilisateur.
La technique peut sembler simple au premier abord, mais elle est beaucoup plus complexe que ça.
Bluebox affirme avoir notifié Google de son exploit en février dernier (bug 8219321). Il appartient à chaque constructeur de modifier le firmware des appareils et de diffuser la mise à jour. D’après le laboratoire, seul le Samsung Galasy S4 disposerait d’un tel patch. Toujours selon Bluebox, Google travaillerait actuellement sur une mise à jour pour les appareils Nexus. L’exploit sera détaillé lors du Black Hat USA 2013 talk.
Google s’est refusé à tout commentaire.
On espère que les constructeurs vont jouer le jeu et diffuser rapidement une mise à jour… mais en attendant, éviter d’installer un APK à la main et préférez utiliser le Play Store (enfin pas n’importe quoi).
À suivre…