Android : Découverte d’une faille de sécurité vieille de 5 ans
Des experts en sécurité informatique ont découvert une faille de sécurité qui sévit sur les smartphones Android depuis 2011. Une faille qui ne sera jamais corrigée sur certains appareils.
C’est devenu une routine dans le monde des systèmes d’exploitation, qu’ils soient desktop ou mobile. Des experts en sécurités fouillent le code source des Os à la recherche de failles, préviennent l’éditeur du logiciel et ce dernier se charge de corriger le bug.
Mais parfois, il arrive que de vieilles brèches ne soient découvertes que très longtemps après leur apparition. C’est notamment le cas de celle qui vient d’être découverte par le cabinet de sécurité FireEye et qui sévit depuis 2011 sur Android !
Une faille vieille de 5 ans dans l’API Qualcomm
Encore une fois, on a affaire à une faille touchant potentiellement des millions de smartphones à travers le monde regroupant des « centaines de modèles » selon FireEye. Cette dernière était contenue dans l’API de Qualcomm qui gère les connexions réseau et sévissait depuis 2011 avant que Google ne la corrige au début de ce mois de mai 2016.
Mais selon les experts de FireEye, certains appareils n’ont pas été patchés et ce ne sera peut-être jamais le cas. En effet, les smartphones embarquant des puces Qualcomm et tournant sous Android Jelly Bean 4.3 devront vraisemblablement continuer à faire avec. Android 4.3 qui, rappelons-le, représente encore 20 % du parc de téléphones au petit robot vert encore en circulation.
Un accès aux données sensibles
Selon FireEye, en exploitant cette faille physiquement ou par le biais d’une application vérolée, les hackers peuvent accéder aux données personnelles du propriétaire du smartphone comme les SMS, les appels, désactiver le code de verrouillage ou encore accéder aux réglages du téléphone.
Le plus dangereux selon les experts en sécurité c’est que « N’importe quelle application peut interagir avec cette API sans provoquer d’alertes. Il est peu probable que Google Play la considérerait comme malveillante. Il est difficile à croire qu’un antivirus serait capable de détecter cette menace. De plus, l’autorisation pour effectuer ces requêtes est demandée par des millions d’applications, ce qui ne permettrait donc pas de détecter quelque chose ». Faites donc très attention si vous possédez un smartphone Android plutôt ancien ou tournant encore sous Android 4.3.