Nicholas Percoco, vice-président et directeur du département SpiderLabs chez TrustWave, explique que le dispositif de notifications d'Android peut facilement être utilisé pour s'emparer des identifiants et des mots de passe de n'importe quel mobinaute. Plus précisément, si une application souhaite attirer l'attention de l'utilisateur lorsqu'il en consulte une autre, le développeur peut tirer parti du système de notifications avec un message placé dans la barre des tâches en haut de l'écran. Cependant, Google met également à disposition une interface de programmation permettant à une application d'être automatiquement replacée au premier plan. M. Percoco ajoute que cette application peut désactiver l'utilisation du bouton Retour afin d'obliger l'utilisateur à entrer ses identifiants au sein de cette notification.
L'expert a intégré cette technique directement au sein d'un jeu pour Android, lequel génère de fausses alertes pour Facebook, Google Voice, Amazon et Gmail. Le magazine Cnet US, qui rapporte l'information, précise que le système se lance directement au démarrage. Au-delà d'une utilisation par des hackers, M. Percoco estime que cette faille pourrait être exploitée par les sociétés détectant qu'une application concurrente est en cours d'utilisation afin de retourner de la publicité ciblée.
Google planche actuellement sur une solution
