PiratagesSmartphones/tablettes

Une faille sur 80% des smartphones Android permet de vous enregistrer à votre insu

Des chercheurs de la société de sécurité américaine MRW Labs ont mis au jour une faille de sécurité assez inquiétante qui permet à des pirates de se connecter à distance à un smartphone Android et de faire deux choses:

– Observer tout ce qui se fait à l’écran
– Activer le micro du téléphone pour écouter ce qui se passe autour.

Le problème viendrait d’une fonction d’Android (MediaProjection) qui permet à des applications tierces d’avoir accès à l’écran et au micro du smartphone.

Pour autant, l’utilisateur ne peut ignorer que quelque chose d’étrange se passe avec son smartphone, car un message apparaît alors à l’écran.

Les utilisateurs doivent d’abord donner leur autorisation (exemple : « Attention, telle application va enregistrer votre écran et votre micro – Est-ce que vous acceptez ? » ).

Problème : des pirates peuvent modifier le contenu de cette boite de dialogue (exemple : « Merci d’avoir téléchargé cette application. Profitez-en bien »). On appelle ça du « tap-jacking » (clickjacking).

Une mise à jour pour Android 8.0 seulement

Cette faille serait présente sur les versions 5,6 et 7 d’Android, soit environ 70 à 80% du parc mondial.

En revanche, elle a été corrigée sur la version 8 (Oreo).

Si vous n’avez pas fait la bascule vers la dernière mouture d’Android, vous êtes donc potentiellement exposés à ce piratage, il parait donc nécessaire de faire la mise à jour vers Android 8, malheureusement ce n’est pas possible sur tous les smartphones.

Accéder au rapport. (anglais)

Android est également victime d’un autre problème:

Géolocalisation forcée

La position géographique des utilisateurs pourrait avoir été enregistrée à leur insu, même si le service de géolocalisation du smartphone est désactivé.

Il s’agit d’un effet collatéral de la fonction de téléphonie, révélé par le site américain Quartz.

En effet, votre smartphone, même si vous ne l’utilisez pas, passe son temps à rechercher les antennes relais les plus proches pour se connecter, or, Android collecte les adresses géographiques de ces antennes.

Partant de là, il est facile d’en déduire, par triangulation, la position de l’utilisateur.

Google affirme que ces données n’ont jamais été utilisées pour cela et que la collecte des adresses des antennes ne sera plus effectuée à partir du mois prochain (décembre 2017).

Nous voilà, en principe, rassurés…..

Laisser un commentaire