D’après des professionnels de la sécurité, un bug dans Android permettrait à des trojans et autres codes malicieux de se faire passer pour des applications vérifiées, masquant la présence d’un malware au sein d’un programme.
Bluebox Labs explique également que ce bug existe depuis la sortie d’Android 1.6 Donut et qu’il affecte 99% des dispositifs opérant sous Android.
Normalement, les applications sont vérifiées avec des signatures chiffrées, de sorte que les mises à jour modifiées sont automatiquement rejetées si la clef ne correspond pas à celle fournie par le développeur de l’appli. Mais Bluebox déclare avoir trouvé un moyen de modifier le fichier APK d’une application sans en modifier la signature.
Une modification qui permettrait à des individus peu scrupuleux d’ajouter des codes malicieux dans les dispositifs dans le cadre d’une attaque proposant à des utilisateurs de télécharger une mise à jour corrompue.
La question de la diffusion de ces mises à jour est théorique, et c’est pourquoi la faille a peu de chance d’avoir été exploitée à ce jour. Son exploitation n’est pas possible depuis le Google Play, mais un utilisateur pourrait être tenté d’accéder à une mise à jour de son application depuis un site tiers ou des marchés d’applications privés.
Le Bug sera difficile à avaler pour les utilisateurs d’Android restés bloqués à d’anciennes versions de l’OS. Il parait difficile de croire que les fabricants proposeront une mise à jour spécifique à ce problème vers des appareils qui ne sont plus supportés depuis plusieurs années déjà.
Découverte depuis février 2013, Bluebox indique que c’est aux fabricants de proposer chacun leur patch correctif. Samsung aurait presque immédiatement patché son Galaxy S4, mais étrangement, la gamme Nexus n’est pas encore concernée par la mise à jour.