Android : une vulnérabilité toucherait 99% des smartphones

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 04 juillet 2013 à 15h06
Le cabinet de sécurité Bluebox explique avoir découvert une vulnérabilité majeure au sein du système Android, laquelle serait susceptible d'affecter l'ensemble des smartphones à l'exception du Samsung Galaxy S4.

00B9000004962624-photo-android-malware-ver-worm-sq-gb-logo.jpg
Un groupe de chercheurs en sécurité explique sur leur site avoir repéré un bug au sein du modèle de sécurité des applications mis en place par Google. Ce dernier permettrait à une personne malintentionnée de modifier le contenu d'un fichier d'installation APK sans pour autant casser la signature de chiffrement. Concrètement celle-ci permettrait donc de remplacer une application légitime par un cheval de Troie.

Bluebox affirme sur son site : « cette vulnérabilité est présente depuis au moins la version 1.6 d'Android (au nom de code "Donut") et pourrait affecter n'importe quel téléphone sur Android sorti ces 4 dernières années ». Cela représenterait au total 900 millions d'appareils. Interrogé par le magazine CIO, le directeur technique de Bluebox Jeff Forristal précise qu'à l'heure actuelle seul le Samsung Galaxy S4 fait figure d'exception, ce qui signifie qu'un patch a bel et bien été développé.

Toutes les applications Android disposent d'une signature chiffrée, laquelle est utilisée par le système afin de vérifier la légitimité de ces dernières. En exploitant cette vulnérabilité, il serait donc possible d'insérer n'importe quel type de malware qu'il s'agisse d'un outil envoyant des SMS surtaxés ou un mouchard récupérant des informations personnelles. Rappelons cependant que la menace provient principalement des plateformes de téléchargement autres que celle de Google Play ce qui signifie qu'il faudra préalablement avoir désactivé cette limite dans les paramètres.

Bluebox affirme avoir prévenu Google au mois de février mais à l'heure actuelle aucun patch n'a été déployé par les constructeurs. Les détails de cette vulnérabilité seront rendus publics à l'occasion du sommet BlackHat USA 2013 qui se déroulera du 27 juillet au 1er août. Reste à savoir si un correctif sera proposé d'ici là.


Guillaume Belfiore
Par Guillaume Belfiore
Rédacteur en chef adjoint

Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles