Pour gérer vos consentements :

Sécurité IT : la méga-faille d’Android était-elle si critique ?

Plusieurs fabricants télécoms, en tête desquels Samsung, ont commencé à déployer le correctif que leur a adressé Google pour résorber la faille de sécurité « critique » qui affecte potentiellement 99% des terminaux Android.

Au centre des préoccupations depuis quelques jours, cette brèche permet de transformer toute application en un programme malveillant, en modifiant du code APK sans casser la signature de chiffrement associée.

Spécialisé dans la protection des données sur mobile, Bluebox Security avait donné l’alerte la semaine passée, expliquant que tous les appareils électroniques pourvus d’Android 1.6 « Donut » ou d’une version ultérieure étaient concernés.

La start-up britannique assurait avoir averti Google en amont – en l’occurrence au mois de février – quant à l’existence de cette vulnérabilité découverte… en 2009.

Le groupe Internet de Mountain View l’a lui-même reconnu : l’exploitation de ce trou de sécurité peut entraîner une prise de contrôle à distance de la machine infectée, le vol de données ou encore, selon le niveau de privilèges de l’application visée, l’installation d’un botnet.

L’une de ses porte-parole tempère toutefois ce constat : « Aucun élément ne démontre que cette faille a été exploitée« , non seulement sur le Play Store, mais aussi sur des parcs applicatifs tiers.

C’est précisément sur ces logithèques alternatives que se portait l’inquiétude de la communauté des experts en sécurité IT.

Et pour cause : la brèche en question est difficilement exploitable sur Google Play.

En effet, s’il est possible de modifier le code APK des applications, chacune possède une signature (keystore) unique qui permet de l’identifier, rendant très compliqué son passage au contrôle qualité.

Ce problème n’est pas rencontré lors de la publication sur un autre App Store, y compris, vraisemblablement ceux des constructeurs, si leurs serveurs sont compromis.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les différents services de Google ?

Crédit illustration : Android.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago