Android : une vulnérabilité qui touche 99% des terminaux

Depuis Android 1.6, la plateforme de Google est frappée d’un bogue touchant 99% des terminaux qui en sont équipés. La société Bluebox a mis au jour une faille de sécurité particulièrement importante, qui permet de modifier l’APK (le « paquet » de l’application) sans toucher à la signature électronique d’un logiciel. Il devient potentiellement possible d’injecter du code malveillant dans une application légitime, sans que la boutique qui la distribue puisse détecter la supercherie, la signature électronique n’ayant pas changé (celle-ci étant créée par l’éditeur légitime du logiciel). Le problème est déjà grave en soi, mais quand on considère les applications que les constructeurs ont l’habitude de fournir dans leurs terminaux Android, l’affaire se révèle encore plus problématique, ces logiciels ayant un accès bas niveau au système d’exploitation.

Le hacker a ainsi tout loisir de consulter n’importe quel type de données dans le smartphone, voire passer des appels, utiliser le capteur photo, envoyer des SMS surtaxés… Google se retrouve à devoir gérer un véritable casse-tête lié à la complexité de la situation. Une application légitime comme Facebook pourrait être infectée sans que le système n’y voit rien à redire. Si on rajoute à cela la diversité des terminaux et la fragmentation de la plateforme, cela promet quelques réjouissantes heures de codage. Bluebox indique avoir prévenu Google en février; les constructeurs doivent désormais proposer de nouveaux firmwares afin de boucher, autant que faire se peut, cette vulnérabilité.

Source (via)