Selon des chercheurs de l'université d'Ulm, en Allemagne, la grande majorité des terminaux fonctionnant avec le système d'exploitation Android seraient vulnérables aux intrusions permettant de récupérer des données personnelles stockées sur les serveurs distants de Google.
Le problème viendrait du protocole d'identification ClientLogin, utilisé dans Android 2.3.3 et dans ses versions antérieures, et qui sert à authentifier la connexion à un compte distant : en s'authentifiant pour accéder au calendrier Google, les contacts Gmail ou encore Picasa, le protocole créé un jeton d'identification (authToken) qui est valable 14 jours. Le problème, c'est que ce jeton serait envoyé sans chiffrement au serveur distant, et pourrait donc être récupéré par une personne malveillante en cas d'utilisation d'une connexion non-sécurisée, comme un hotspot WiFi.
« Nous voulions savoir s'il était vraiment possible de lancer une attaque d'usurpation d'identité contre les services de Google : nous avons donc commencé notre analyse » ont expliqué les chercheurs sur leur site (en anglais). « La réponse est oui. C'est possible, et c'est assez simple à faire ».
Les chercheurs expliquent que le problème a été réglé par Google à partir d'Android 2.3.4 pour le calendrier et les contacts Google, qui utilisent une connexion HTTPS sécurisée, mais que la faille persiste sur Picasa. De plus, la mise à jour est loin d'être proposée sur tous les terminaux, et les instigateurs de l'étude considèrent que 99,7% des terminaux sous Android sont concernés, en se basant sur les informations fournies début mai par Google.
Contactée par Techradar, la firme de Moutain View a expliqué être au courant du problème et procéder à sa résolution totale. La semaine dernière, Google a également annoncé sa volonté de travailler plus étroitement avec les opérateurs téléphoniques pour fournir plus rapidement qu'aujourd'hui les mises à niveau de son OS mobile.