De quoi s'agit-il ? Cette faille de sécurité permet à une application d'usurper la signature électronique d'un autre logiciel et donc d'accéder aux privilèges alloués à ce dernier. Dans un billet de blog présentant ses travaux, Bluebox prend l'exemple d'un malware qui s'attribuerait l'identité associée à Google Wallet, le portefeuille électronique intégré à Android et gagnerait ainsi un accès direct aux informations de paiement de l'utilisateur. En usurpant les outils de gestion de terminaux destinés aux entreprises, il pourrait même permettre la prise de contrôle intégrale de l'appareil à distance. Bref, de quoi faire froid dans le dos.
L'existence de cette faille a été révélée à Google en avril. Le moteur de recherche, qui fait régulièrement appel à des tiers pour auditer la sécurité de ses produits, affirme avoir rapidement émis un correctif en direction de tous les constructeurs de l'univers Android, de façon à ce que ces derniers mettent à jour leurs terminaux. Dans le même temps, il indique avoir procédé à un examen attentif des applications hébergées sur Google Play ou à l'extérieur, sans avoir pu trouver la moindre trace d'une tentative d'exploitation de cette vulnérabilité.
La plupart des terminaux mis à jour vers Android 4.4 KitKat sont logiquement protégés. Pour les autres, il est conseillé, comme toujours sur Android, d'installer les dernières mises à jour disponibles, de ne télécharger que des applications en provenance du magasin officiel (Google Play) et de vérifier quelles sont les permissions demandées par un programme à l'installation. Bluebox présentera plus avant les modalités d'exploitation de cette faille lors de la conférence Black Hat, début août à Las Vegas.
