Les nombreux problèmes de failles subis par les devices Android ne sont plus un secret. Cependant, celle découverte il y a peu par des chercheurs de Bluebox Security se veut inquiétante : elle affecterait 99% des terminaux du robot vert.
Selon la startup spécialisée dans la sécurité des portables, la faille existe depuis Android 1.6 (Donut) et permet la modification du code d’une application dont l’APK a déjà été reconnu valide par le Play Store et ce, sans affecter sa signature numérique. Pour ce faire, les développeurs malhonnêtes n’ont qu’à proposer à l’utilisateur une mise à jour directe vérolée de leur application, qui une fois installée leur permettrait de prendre le contrôle total de l’appareil infecté.
Jeff Forristal, directeur de la technologie de Bluebox Security affirme qu’à l’heure actuelle, seul le Galaxy S4 de Samsung est immunisé contre cette faille, ce qui implique qu’une solution est possible pour les autres terminaux mobiles. Informé du problème depuis le mois de février, Google serait en train de travailler sur une mise à jour pour ses Nexus mais se réserve tout commentaire sur l’affaire.
Si l’idéal réside dans la mise en place rapide de correctifs de la part des différents constructeurs, la meilleure solution temporaire consiste à ne télécharger des mises jours que depuis le Play Store dont toutes les applications sont testées et vérifiées.
