C'est l'équipe du chercheur Xuxian Jiang de l'université publique de Caroline du Nord qui a découvert le pot aux roses. Google a été contacté et a répondu à Jiang en seulement 10 minutes. La firme de Mountain View prend les choses très au sérieux et planche sur un patch. Jiang précise que les détails relatifs à la faille ne seront pas publiés avant qu'une mise à jour ne soit disponible.
La faille est contenue dans l'Android Open Source Project (AOSP) et de ce fait, elle touche toutes les versions d'Android (Gingerbread, Ice Cream Sandwich et Jelly Bean).
Si les malwares de type SMS phishing ne sont pas nouveaux, les pirates peuvent désormais compter sur cette faille. Et pour cause puisque l'appli contenant le malware ne demande aucune permission pour lancer l'attaque. Il suffit dès lors d'avoir téléchargé une appli infectée. Elle vous fera croire que vous avez reçu un SMS d'une personne de votre liste de contacts ou d'une banque. Mise en confiance, la personne pourrait alors fournir un mot de passe pour un compte utilisateur ou bien bancaire.
En attendant les mises à jour salvatrices, il est conseillé d'être attentif aux applis téléchargées (en particulier si elles proviennent de sources inconnues) et d'être vigilant aux SMS que vous recevrez.
