Le cabinet FireEyes, spécialisé dans la sécurité, explique avoir trouvé le moyen de passer outre les mécanismes de vérification mis en place sur Android ou Google Play afin d'altérer le comportement d'une icône sur le système.
Le système Android est doté de plusieurs niveaux de sécurité permettant de retourner des alertes à l'utilisateur. Google identifie ainsi cinq types de permissions en mode normal, dangereux, système, signature et développement. Lorsqu'une application tente par exemple d'accéder au module des connexions réseaux, le niveau dangereux est activé et retourne une alerte à l'utilisateur avant de procéder à une installation.
D'autres types de permissions en mode normal ne retournent aucune alerte, c'est notamment le cas des valeurs com.android.launcher.permission.READ_SETTINGS et com.android.launcher.permission.WRITE_SETTINGS, lesquelles ont été exploitées par ce groupe d'experts. Celles-ci permettent de modifier les paramètres de configuration pour une icône en particulier.
FireEyes explique qu'il est possible d'exploiter ces valeurs, de les insérer au sein d'une application pour altérer par la suite le fonctionnement d'une icône et par exemple de la pointer vers un site frauduleux. Après avoir appliqué ce mécanisme, l'équipe a publié une application au sein du Play Store. Les filtres mis en place sur ce dernier n'ont détecté aucune anomalie.
FireEyes a prévenu la société Google au mois d'octobre, laquelle a déployé un patch auprès des OEM au mois de février.
Notons que cette révélation est publiée quelques jours après que Google a annoncé le déploiement d'une mise à jour visant à opérer des scans réguliers sur l'OS mobile, précisément pour savoir si une application malveillante n'a pas altéré le comportement d'une autre déjà installée.