Il est temps pour Google de faire un ménage du printemps sur Android. Une nouvelle vulnérabilité critique permettant d’accéder à des données personnelles et d’exécuter du code à distance a été identifiée sur l’OS.
À chaque nouvelle semaine, sa nouvelle faille de sécurité inquiétante. En ce début mai, les équipes de Microsoft dédiées à la cybersécurité ont publié un long billet de blog détaillant une nouvelle faille sur Android. Cette vulnérabilité surnommée « Dirty Stream » permet potentiellement à une application d’exécuter des commandes à distance sur un appareil, d’accéder à des données personnelles stockées sur le téléphone, ou même sur le réseau local auquel il est connecté.
Infecter le smartphone et au-delà
Concrètement, en manipulant une fonctionnalité nommée « custom intents », qui permet normalement d’échanger des composants entre applications, un logiciel malveillant peut faire exécuter un bout de code malveillant par une application « saine » ou accéder à ses données. Techniquement, la faille ne réside pas dans le code d’Android lui-même, mais plutôt dans la manière dont certaines applications implémentent justement cette fonctionnalité.
D’après les chercheurs et chercheuses de Microsoft, plusieurs applications populaires étaient ou sont encore vulnérables à une telle faille. Parmi elles, on retrouve par exemple l’application WPS Office qui cumule près de 500 millions de téléchargements sur le Play Store ou même le gestionnaire de fichiers de Xiaomi qui pointe à 1 milliard et quelques de téléchargement. Petit souci, l’app de Xiaomi permet en plus d’accéder à d’autres fichiers au sein de son réseau local, permettant potentiellement à une application malveillante de se balader dans les dossiers d’autres appareils connectés au même Wifi.
4 milliards de téléchargements
Ces deux cibles de choix ont heureusement reçu des correctifs dès le problème identifié, mais la masse des applications vulnérables représente plus de 4 milliards de téléchargements en tout, détaille Microsoft. De quoi offrir une surface d’attaque importante pour tous les pirates mal intentionnés. « Nous partageons cette découverte afin que les développeurs et éditeurs d’applications puissent vérifier si leurs logiciels sont vulnérables et les corriger le cas échéant », explique Microsoft.
Google a mis à jour sa documentation à l’attention des développeurs et développeuses pour rendre compte du problème et indiquer la bonne manière d’utiliser les custom intents. En attendant, le meilleur moyen de se protéger est d’éviter de télécharger des applications depuis n’importe où sur le web et de bien faire attention aux autorisations accordées à chaque logiciel installé sur son téléphone.
01 décembre 2024 à 11h06
Source : Microsoft via Bleeping Computer