Les chercheurs de la start-up Bluebox, une société spécialisée dans la sécurité mobile, située à San Francisco, ont révélé que la quasi-totalité des smartphones sous Android (99%) sont victimes d'une faille de sécurité. Les terminaux concernés tournent sous Android 1.6 et plus, soit tous les appareils vendus depuis quatre ans. Au total, près de 900 millions dans le monde seraient concernés.
Cette faille de sécurité permet à une personne mal intentionnée de modifier le code des paquets applicatifs d’Android (les fameux APK) sans porter atteinte à la signature chiffrée de l’application. Cela permet de faire passer une application malveillante pour une application saine en laissant croire au système que le code source n’a pas été changé, sans que le magasin applicatif, le téléphone ou l’utilisateur ne puissent s’en apercevoir. "Les implications sont énormes!", écrit Jeff Forristal, le directeur technique de Bluebox, sur le blog de son entreprise.
Ce cheval de Troie peut, par exemple, lire vos messages et documents, récupérer vos mots de passe, contrôler votre téléphone (passer des appels, envoyer des SMS ou pire : enregistrer vos conversations), ou se servir du fait que le téléphone soit constamment connecté et toujours en mouvement (donc difficile à détecter) pour le transformer en botnet.
Un patch existe mais il n’a pas toujours pas été distribué. Le Samsung Galaxy S4 ne serait pas concerné : il ferait partie des 1% de smartphones Android non vulnérables.
Cette faille de sécurité permet à une personne mal intentionnée de modifier le code des paquets applicatifs d’Android (les fameux APK) sans porter atteinte à la signature chiffrée de l’application. Cela permet de faire passer une application malveillante pour une application saine en laissant croire au système que le code source n’a pas été changé, sans que le magasin applicatif, le téléphone ou l’utilisateur ne puissent s’en apercevoir. "Les implications sont énormes!", écrit Jeff Forristal, le directeur technique de Bluebox, sur le blog de son entreprise.
Ce cheval de Troie peut, par exemple, lire vos messages et documents, récupérer vos mots de passe, contrôler votre téléphone (passer des appels, envoyer des SMS ou pire : enregistrer vos conversations), ou se servir du fait que le téléphone soit constamment connecté et toujours en mouvement (donc difficile à détecter) pour le transformer en botnet.
Un patch existe mais il n’a pas toujours pas été distribué. Le Samsung Galaxy S4 ne serait pas concerné : il ferait partie des 1% de smartphones Android non vulnérables.
