Après l’épisode de la semaine dernière sur la faille Master Key, permettant la distribution de malwares sur tous les smartphones Android, Google est de nouveau confronté à un problème de sécurité majeur.
Cette fois-ci, c’est une équipe de chercheurs chinois, Android Security Squad, qui a fait la découverte d’une nouvelle faille de sécurité. Elle explique sur son blog que, suite à la faille découverte par Bluebox, ses chercheurs se sont penchés sur les implications possibles. C’est ainsi qu’ils ont pu découvrir une faille aux effets identiques à celle découverte par Bluebox.
Bien que le fonctionnement soit différent, il est possible de modifier l’apk sans toucher à la signature. Il est donc possible d’altérer le fonctionnement de n’importe quelle application sans changer sa signature, rendant ainsi la modification totalement indétectable.
A partir de là, il est donc possible de modifier des applications pour appeler depuis votre téléphone des numéros surtaxés, de récupérer une partie de vos données personnelles, etc… Et tout cela à l’insu de l’utilisateur.
Contacté par Android Security Squad, Google n’a pas encore donné suite et n’a fait aucun commentaire à ce sujet.
Rappelons que si vous utilisez uniquement le Play Store vous n’êtes pas concerné par cette faille. Seul ceux téléchargeant des applications depuis des markets alternatifs sont exposés.
Poster un Commentaire