Sécurité IT : faille critique dans l’univers Android

CloudMobilitéOS mobiles
android-securite-jelly-bean-smartphone-tablette

Une faille de sécurité permettant de transformer toute application en un programme malveillant toucherait la quasi-totalité des terminaux Android.

Spécialisée dans la protection des données sur mobile, la start-up britannique Bluebox Security fait part d’une découverte inquiétante : une faille critique qui rend vulnérables la quasi-totalité des terminaux Android.

900 millions de téléphones sont potentiellement concernés, selon Jeff Forristal.

Le directeur technique de Bluebox évoque une faiblesse dans le modèle de sécurité d’Android : il est possible de modifier du code APK sans casser la signature de chiffrement associée.

Toute application légitime peut ainsi muter en un programme malveillant, sans pour autant être détectée, ni par l’utilisateur final, ni par les solutions antivirus, ni même par l’outil d’analyse intégré au Play Store de Google.

En exploitant cette brèche, des pirates pourraient contrôler à distance tout appareil infecté, en exfiltrer des données ou éventuellement y déployer un botnet.

Autre point d’autant plus alarmant qu’il est paradoxal, « ce risque est aggravé si l’on considère que les applications développées par les fabricants de périphériques […] ou par des tiers qui travaillent en collaboration avec le fabricant de l’appareil [par exemple Cisco AnyConnect VPN, ndlr] bénéficient de privilèges élevés au sein d’Android« .

Google, qui aurait, comme le note Silicon.fr, connaissance de cette vulnérabilité depuis le mois de février, n’a pas encore officiellement diffusé de correctif.

Pour l’heure, Bluebox appelle les mobinautes – et tablonautes – à la vigilance et leur recommande d’effectuer systématiquement les mises à jour système, tout particulièrement s’ils utilisent leurs appareils à des fins professionnelles (BYOD, « Bring Your Own Device »).

—— A voir aussi ——
Quiz ITespresso.fr : incollable sur Android ?

Crédit photo : Palto – Shutterstock.com

Lire aussi :