Six bogues rendraient près d’un milliard d’appareils Android vulnérables aux logiciels malveillants, affirment des chercheurs d’une université américaine et… de Microsoft.
ZDNet fait état des constats d’un article de recherche qui a été produit par des chercheurs de l’établissement américain Indiana University et du centre de recherche Microsoft Research, à propos d’une nouvelle gamme de vulnérabilités sous la plateforme Android. Cette gamme de vulnérabilités a été nommée Pileup flaws, ce qu’on pourrait traduire par « failles d’accumulation ».
Le mot pileup est un mot-valise pour privilege escalation through updating. La vulnérabilité cause un accroissement des privilèges qui sont consentis à des logiciels malveillants au gré de l’apport de mises à niveau au système d’exploitation Android de Google, à l’insu de l’utilisateur de l’appareil mobile.
En résumé, lorsqu’une application malveillante est installée sur une version antérieure d’Android, des pirates pourraient tirer profit de privilèges ou d’attributs qui ne sont disponibles que sur une version plus récente du système d’exploitation. Ces privilèges ou attributs pourraient être activés, puis mis en attente jusqu’à ce qu’une mise à niveau du système d’exploitation de l’appareil mobile soit réalisée et permette d’en faire l’utilisation.
Selon le sommaire de l’article de recherche, les bogues découverts sont attribuables au fonctionnement du service de gestion des paquets (Package Management Service en anglais) dans le mécanisme de mise à jour d’Android. Selon les chercheurs, ces bogues permettraient à une application malveillante d’obtenir des permissions de système et de signature, mais aussi de définir les paramètres de ces dernières, se substituer à de nouvelles applications, modifier les configurations de sécurité, voler de l’information confidentielle et bloquer l’installation de services système essentiels.
Les chercheurs d’Indiana University et Microsoft Research ont développé un service de détection, nommé SecUp, qui sert à cerner dans un appareil mobile de type Android des applications malveillantes qui tirent profit des vulnérabilités de failles d’accumulation.
ZDNet rapporte que Google aurait déjà colmaté une des six failles dès qu’elle a été informée de l’existence des bogues de failles d’accumulation.
Il y a fort à parier que la présence d’un chercheur d’une entité de Microsoft parmi les auteurs de l’article de recherche n’a pas dû plaire aux dirigeants de Google…