La firme de sécurité belge GuardSquare a détecté une brèche dans Android, permettant à des applis mal intentionnées d’accéder en catimini à votre téléphone.
En résumé, cela revient à dire qu’une appli mal intentionnée peut se présenter sous la forme d’une mise à jour d’une appli existante, sans que le système de contrôle d’Android ne le remarque. La faille, qui a été baptisée ‘The Janus Vulnerability’ par GuardSquare, concerne Android 5.0 et supérieur jusqu’à Android 7.0. En novembre, Google a cependant sorti une mise à jour qui colmate cette brèche.
Les applis Android sont fournies sous forme d’un fichier APK, à savoir une sorte de fichier zip contenant les ressources, les actifs et le code. Ce dernier se retrouve à son tour dans un fichier DEX. Mais Eric Lafortune, CTO de GuardSquare, a découvert qu’il est possible d’ajouter des octets supplémentaires (sous la forme de code mal intentionné) entre les différentes composantes du fichier APK et à la fin du fichier DEX. L’algorithme qui contrôle la signature de l’appli, ne vérifie en effet que les éléments du fichier et pas les octets supplémentaires éventuels entre ceux-ci.
“Il est dès lors possible de doter une appli ordinaire d’un tout autre code et ce, sans que l’utilisateur ou Android ne le remarque”, déclare Lafortune à Data News. Il se pourrait ainsi par exemple qu’une appli qui ne demande que peu d’autorisations, s’attribue subitement d’elle-même un accès à votre appareil photo ou téléphone notamment.
GuardSquare insiste cependant sur le fait que pour autant qu’elle le sache, cette faille n’a pas encore été abusée dans la pratique par des cybercriminels. Il est possible aussi qu’une appli que vous avez téléchargée via le Play Store, ne puisse être remplacée comme si de rien n’était par une autre infectée. “Quiconque ne télécharge ses applis que dans le Play Store, est normalement bien protégé. Mais si vous visitez un site officieux, vous courez le risque que l’appareil n’ait pas reçu la dernière mise à jour sécuritaire”, affirme Lafortune.
L’appli Netflix en est un exemple bien connu. Tout propriétaire d’un appareil Android à accès-racine ne peut télécharger certaines applis via Google Play. Il doit souvent se résoudre à suivre un trajet officieux pour trouver le Netflix-APK avec tous les risques que cela comporte. S’il installe alors une appli mal intentionnée qui applique la faille Janus, Android l’identifiera comme une mise à jour légitime.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici