Des chercheurs en sécurité de la société Palo Alto Networks ont dévoilé les détails d'une vulnérabilité dans le système d'exploitation mobile Android. Elle exploite une faille dans le service d'installation PackageInstaller d'Android. Des attaquants peuvent détourner la procédure d'installation d'une application tierce qui ne provient pas du Google Play et pour laquelle le fichier .apk n'est alors pas téléchargé dans un espace protégé.
Lorsque les demandes usuelles d'autorisation sont reçues, la vulnérabilité permet de modifier celles-ci à la volée et octroyer à l'application des droits à l'insu de l'utilisateur. Une application en apparence légitime peut alors devenir malveillante.
" Alors qu'ils pensent installer une application de lampe-torche ou un jeu pour leur mobile avec des autorisations clairement définies et limitées, les utilisateurs exécutent en fait un malware potentiellement dangereux "
, écrit Palo Alto Networks qui évoque notamment des risques de vol de données.
On comprend rapidement ici que le téléchargement depuis le Google Play est gage de sécurité, tandis qu'Amazon a procédé à une correction pour la dernière version de son App-Shop.
Palo Alto Networks a découvert la faille en janvier 2014. Elle a été rapportée à l'équipe de sécurité Android de Google en février, puis à Samsung en mars et à Amazon en septembre. La divulgation publique intervient ce jour.
Les versions vulnérables d'Android sont Android 2.3, 4.0, 4.1, 4.2 et dans certains cas 4.3. Pour les versions ultérieures, la vulnérabilité a été comblée. Compte tenu de la fragmentation des versions de l'OS, il est estimé que près de 49,5 % des terminaux Android actuels sont vulnérables.
Avant la divulgation publique, Google a indiqué n'avoir constaté aucune tentative d'exploitation de la vulnérabilité sur des appareils d'utilisateurs. Un constat qui pourrait désormais changer. Palo Alto Networks propose une application Installer Hijacking Scanner afin de déterminer si un appareil est vulnérable ou non.
