Android 8.0 Oreo n'est pas affecté par cette vulnérabilité baptisée Android Toast Overlay par les chercheurs en sécurité de Palo Alto Networks. Pour toutes les versions antérieures d'Android (du moins sans la mise à jour de sécurité de septembre), ils alertent au sujet d'une possible exploitation pour faciliter des attaques dites de superposition.

Cette notion de superposition fait référence au fait de superposer une fausse information au niveau de l'interface graphique dans le but de dissimuler des activités potentiellement malveillantes. Une application d'un attaquant peut créer une fenêtre sur les autres fenêtres et les applications exécutées sur l'appareil. Un utilisateur croit cliquer sur une fenêtre, mais il clique en fait sur une autre.

De telles attaques ne sont pas une nouveauté. Des chercheurs de Georgia Tech et de l'université de Californie à Santa Barbara avaient notamment parlé de cette classe d'attaques avec la méthode Cloak & Dagger évoquée dans nos colonnes en mai.

Toutefois, si Cloak & Dagger tirait parti d'autorisations Android liées à la superposition d'applications et l'accessibilité, ce n'est pas le cas avec Android Toast Overlay où il est question des messages ou notifications toast d'Android.

Android-notification-toast

Palo Alto Networks indique que l'une des meilleures protections demeure de se prémunir d'applications malveillantes en se fournissant seulement dans le Google Play Store. Par ailleurs, comme mentionné plus haut, la mise à jour de sécurité de septembre apporte un correctif. Google n'a pas considéré que la vulnérabilité est critique (CVE-2017-0752).