La semaine dernière, des chercheurs en sécurité de la société allemande Curesec ont publié des informations au sujet d'une vulnérabilité découverte fin 2013. Ce qui est autrement qualifié de bug affecte des versions d'Android.

Sans autorisation accordée au préalable et à l'insu de l'utilisateur, une application malveillante peut exploiter la vulnérabilité pour par exemple interrompre des appels sortants ou initier des appels vers des numéros surtaxés. De quoi faire grimper la facture de l'abonné.

Computerworld explique que le modèle de sécurité d'Android est contourné. " En temps normal, les applications sans une autorisation CALL_PHONE ne peuvent pas initier des appels téléphoniques ". Un chercheur de Bitdefender a confirmé la trouvaille de Curesec.

Si le bug affecte Android 4.1.1 Jelly Bean à Android 4.4.2 KiKat, il semble par contre avoir été corrigé dans la dernière version Android 4.4.4. Curesec avait alerté l'équipe sécurité d'Android dès le mois d'octobre 2013.

Par ailleurs, un bug similaire et exploitable avec des versions plus anciennes d'Android existe. Sont ainsi affectés Android 2.3.3 et Android 2.3.6. On comprend alors vite que compte tenu de la fragmentation d'Android, cela expose un grand nombre de smartphones.

Néanmoins, ce qu'il faut surtout retenir est que tout ceci n'est exploitable que par des applications malveillantes et la firme de Mountain View analyserait Google Play afin d'éviter la présence de telles applications.