Android : Découverte d’une faille de sécurité touchant l’ensemble des terminaux

Liée à la fragmentation d'Android, cette faille permettrait à certaines apps d'obtenir une augmentation automatique des permissions.

Des chercheurs de l’Université de l’Indiana et de Microsoft ont affirmé avoir mis le doigt sur une nouvelle vulnérabilité Android, une faille qui se trouve au coeur du système et plus précisément de son système de mise à jour. Pour faire simple, cette vulnérabilité nommée « faille Pileup » permettrait à certaines applications d’obtenir automatiquement certaines autorisations, sans avoir besoin de l’aval de l’utilisateur.

Dans leur rapport, les chercheurs expliquent que cette vulnérabilité serait liée à la fragmentation du marché Android. Pour faire simple, une application peut demander une autorisation qui n’existe pas encore sur la version d’Android qui équipe le mobile. Mais si une mise à jour est installée par la suite sur l’appareil et que celle-ci intègre les privilèges demandés par l’application alors l’application obtient automatiquement les privilèges, sans que l’utilisateur ne soit jamais mis au courant.

Un scanner pour détecter les applications malicieuses

Les chercheurs affirment avoir mis la main sur six vulnérabilités de ce type dans le Package Management Service (PMS) d’Android et précisent que ces failles toucheraient l’ensemble des versions d’Android Open Source Project (AOSP) et donc plus de 3500 ROMs. « Ces défauts affectent tous les appareils Android dans le monde, laissant planer une menace sur des milliards d’utilisateurs Android qui sont encouragés à mettre à jour leur système » expliquent-ils.

En attendant une solution officielle pour combler cette faille, les chercheurs ont Amazon AppStore for Android, GetJar, SlideMe et 360 Mobile Assistant.

À noter, si l’anglais ne vous rebute pas, trois vidéos ont été mises en ligne sur le site SecureAndroidUpdate pour démontrer le fonctionnement des attaques Pileup.