Des chercheurs en sécurité de Bluebox ont ainsi annoncé avoir découvert une faille dans Android qui permettait aux éventuels pirates d'usurper l'identité d'une application afin de s'octroyer ses droits. La vulnérabilité baptisée " Fake ID" permettait ainsi à une appli malicieuse de se faire passer pour une application ayant passé les critères de sélection d'Android.


google play game   Des pirates étaient en mesure de créer un faux code d'identification et usurper l'identité d'une application de confiance, pour s'installer sur des millions de terminaux sans éveiller aucun soupçon. Une fois l'appli installée, elle est capable de sortir de son sandbox pour opérer toute sorte de tâches sans aucune limite, ou presque. Elle peut alors installer un cheval de Troie dans une application, se faire passer pour Google Wallet et récupérer des données bancaires, ou même plus simplement permettre le contrôle distant du terminal via les extensions 3LM.

Les experts de Bluebox indiquent ainsi que, potentiellement, tous les éléments qui font appel aux chaînes de signatures vérifiées d'une application Android étaient menacés.

Suite à la découverte de la faille en avril dernier, Google a été contacté, et un correctif a été déployé. Bluebox indique toutefois que pendant que la faille était ouverte, 99 % des terminaux Android étaient menacés, le problème datant de la sortie d'Android 2.1 en janvier 2010.

Google souhaite rassurer ses utilisateurs et indique avoir " surveillé toutes les applications soumises sur Google Play et n'avoir trouvé aucune trace d'une quelconque tentative d'utilisation de cette vulnérabilité."

Source : 01Net