Un milliard d’appareils Android touché par une faille de sécurité
La recherche a été menée conjointement entre l’Université de l’Indiana et Microsoft, la faille, de type « Pileup », se trouve dans le service de gestion des paquets (PMS) d’Android, qui autorise automatiquement les nouvelles permissions accordées aux applications déjà installées lors de la mise à jour de l’OS.
Tous les appareils Android sont donc concernés.
C’est la conséquence qu’au fur et à mesure des versions d’Android, l’OS accorde de nouvelles permissions à certaines applications.
Par exemple, la permission « ADD_VOICEMAIL » (qui permet de consulter le répondeur de l’utilisateur) a été ajoutée dans la version 4.0.4 d’Android, mais si vous avez installé une application qui utilise cette permission sur l’OS en version 2.3.6, lors de la mise à jour d’Android, la permission sera automatiquement accordée à l’application.
[quote]Quand un utilisateur met à jour Android vers une version qui dispose de nouvelles permissions, l’application est automatiquement capable de s’en servir, puisque l’utilisateur lui a autorisé l’accès dans le passé.
Ironiquement, après avoir pendant longtemps réclamé des mises à jour d’Android auprès de Google, il s’avère que celles-ci peuvent réveiller des malwares installés dans le passé », précise Bogdan Botezatu, Analyste sénior des e-menaces chez Bitdefender.[/quote]
Entre autres, les applications peuvent baisser le niveau de sécurité, injecter du code javascript dans le navigateur Web pour accéder aux favoris et rediriger vers des pages de phishing, inspecter les cookies ou les favoris, ou encore prendre l’apparence d’applications ou de pages Web légitimes.
Les chercheurs montrent que la faille est présente sur des appareils de constructeurs et de pays différents.
[quote]Notre étude a montré que les vulnérabilités existaient dans toutes les versions officielles d’Android et sur les 3 522 versions de codes source de Samsung, LG et HTC que nous avons analysées, ajoutent-ils.[/quote]
Google et les principaux constructeurs d’appareils Android ont été mis au courant de leur découverte.
Voir aussi:
Une faille de sécurité affecte l’iPhone, l’iPad, l’iPod et le Mac