Une anomalie dans le modèle de sécurité de la plateforme mobile de Google permettrait depuis longtemps à des applications malicieuses d’épier les utilisateurs d’appareils et d’établir un réseau de zombies à leur insu, rapportent AppleInsider et Computerworld.
Un article détaillé qui a été publié dans le site web AppleInsider rapporte la découverte d’une anomalie dans le modèle de sécurité de « signature » des applications Android par l’équipe de recherche de la firme de sécurité Bluebox Security. Cette anomalie rendrait vulnérable « 99 % » des dispositifs qui ont recours au système d’exploitation de Google, soit environ 900 millions d’appareils à travers le monde.
En résumé, un pirate pourrait modifier le code d’un fichier de paquet d’application (Application package file ou APK en anglais) sans briser la signature cryptographique de l’application. Cette signature sert à prouver qu’une application n’a pas été modifiée ou altérée par une entité autre que son développeur.
AppleInsider indique que cette vulnérabilité permettrait à un développeur malicieux de faire croire au système d’exploitation Android qu’une application est légitime, alors qu’elle a été altérée, et de pouvoir faire ce qu’il veut avec l’appareil où l’application est installée.
« Un appareil affecté par cet exploit peut faire tout ce qui existe en méfait informatique, comme l’intégration à un réseau de zombies, l’écoute à l’aide du microphone, l’exportation des données vers un tiers, le chiffrement et la prise en otage des données, l’utilisation de l’appareil pour une intrusion dans un autre réseau, l’attaque de l’ordinateur personnel auquel il est branché, l’envoi de messages texte premium, la réalisation d’une attaque en déni de service auprès d’une cible ou l’effacement du contenu de l’appareil », a indiqué par écrit un représentant de Bluebox Security.
Selon AppleInsider, la vulnérabilité existerait depuis la version 1.6 (Donut) d’Android, qui a été lancée en 2009, et affecterait les versions Eclair, Froyo, Gingerbread, Honeycomb, Ice Cream Sandwich et Jelly Bean (4.2) du système d’exploitation.
Bluebox Security indique que les fabricants d’appareils devront produire et diffuser des mises à jour de micrologiciel pour leurs appareils vers les utilisateurs. L’utilisateur d’un appareil devra appliquer la mise à jour à son dispositif pour que la brèche de sécurité soit colmatée.
Lire l’article au complet dans le site web d’AppleInsider.
Un article publié par Computerworld indique que Samsung a produit et distribué une mise à jour de micrologiciel pour un seul modèle d’appareil, soit le Galaxy S4. Google œuvrerait au développement d’une mise à jour pour ses appareils Nexus.
Google et le regroupement de fabricants d’appareils mobiles Open Headset Alliance auraient refusé de commenter la situation ou n’auraient pas répondu à une demande de commentaire formulée par Computerworld.
Google aurait bloqué la distribution d’applications altérées qui se trouvaient dans sa boutique en ligne Google Play. Toutefois, les utilisateurs qui auraient été bernés et qui auraient appliqué une mise à jour malicieuse à une application pourraient être aux prises avec une application qui n’interagit plus avec Google Play.
Lire l’article au complet dans le site web de Computerworld.
