Alors que Google et ses partenaires ont annoncé le déploiement d'un patch pour combler l'une des vulnérabilités récemment découverte, une autre faille de grande envergure a été présentée à l'occasion du sommet Black Hat qui se déroule actuellement à Las Vegas.
En cette édition 2015 du Black Hat, les spécialistes de la sécurité n'épargnent pas le système mobile de Google, et décrivent à tour de rôle leurs exploit réalisés au sein d'Android. Aujourd'hui, c'est au tour de CheckPoint d'attirer l'attention des spécialistes du milieu avec son Certifi-gate.
Il s'agit d'une vulnérabilité permettant à une application d'obtenir des accès privilégiés de manière illégitime, lesquels sont normalement réservés aux applications de support à distance. Or certaines de ces applications pré-installées et certifiées par les OEM ne sont pas sécurisées. Un hackeur pourra avoir un accès sans restriction à l'appareil. Il aura donc la main sur les données personnelles et pourra par exemple activer le microphone pour enregistrer les conversations.
Android n'offre aucun moyen aux constructeurs pour révoquer un certificat donnant ces accès privilégiés. Selon CheckPoint il faudrait procéder à une mise à jour du système sur l'appareil... un processus relativement long qui a donné naissance à la fragmentation que nous connaissons aujourd'hui au sein de l'écosystème Android.
D'après CheckPoint, parmi les smartphones affectés, nous retrouvons ceux de LG, Samsung, HTC ou encore ZTE. Cela représenterait quelques centaines de millions de terminaux actuellement en circulation. Les ingénieurs ont publié une application au sein de Google Play afin de déterminer si son smartphone est vulnérable.
Récemment nous rapportions qu'une vulnérabilité avait été repérée au sein du module Stagefright, un outil de lecture média intégré à Android. Celle-ci peut affecter 95% des smartphones via un simple MMS. Quelques jours plus tard, la société Trend Micro affirmait à son tour qu'un fichier vidéo placé au sein du contenu Matroska pouvait tout simplement faire planter l'appareil et le rendre complètement inopérant. Plus de la moitié des smartphones sont concernés.
A lire également :
