Le spécialiste israélien en sécurité Check Point Software a découvert un dangereux bug dans des appareils Android de fabricants tels LG, Samsung, HTC et ZTE.
‘Certifi-gate’, comme la faille a été baptisée, fait en sorte que des applications obtiennent indûment des droits d’accès qui sont généralement utilisés par des applications de télé-support installées soit anticipativement, soit personnellement par l’utilisateur sur l’appareil.
Les agresseurs peuvent ainsi exploiter Certifi-gate pour avoir un accès illimité à des smartphones Android. Ils peuvent alors y dérober des données personnelles, déterminer des emplacements et activer des microphones pour enregistrer des conversations. A ce jour, Android n’offre aucune solution capable de supprimer les certificats attribuant ces droits d’accès.
Sans solution et sans patch, les appareils y sont exposés dès leur première utilisation. Tous les fournisseurs concernés ont été avisés du Certifi-gate par Check Point et ont entre-temps commencé à distribuer des mises à jour.
La brèche de sécurité ne peut être comblée, mais ne peut être mise à jour que lorsqu’un nouveau logiciel est envoyé à l’appareil. Il s’agit là d’un processus affreusement lent pour les appareils Android.
Les utilisateurs Android peuvent via l’appli-scanner Check Point Certifi-gate (dans Google Play) voir si leur appareil est vraiment exposé à Certifi-gate.
