Faille de sécurité béante : au tour d’Android
Les grosse failles de sécurité de la taille d’un remorqueur commercial ne sont pas l’apanage d’Apple. Après la stupide erreur de code de la faille SSL des terminaux iOS et OS X, voici donc la faille presqu’aussi incroyable du système de mise à jour des appareils Android. Et au bas mot, celle-ci toucherait potentiellement 1 milliard d’utilisateurs du système; une paille.
Le principe est simple : afin de faciliter la soumission des mises à jour pour les développeurs, Google a mis en place un contrôle des applications de Google Play qui valide le contenu du code lors de la première soumission, et seulement à ce moment là. En d’autres termes, lors d’une mise à jour, Google ne recontrôle plus l’application en question, ce qui fait que du code “dormant” ou des fonctions litigieuses peuvent être rajoutées sans que rien ne puisse interférer.
La “boulette” se produit au niveau du package management service (PMS), qui gère la transition entre l’application originale et les versions mises à jour. Tout, absolument tout type de programme “malicieux” peut-être installé en douce, en passant par la “grande porte” d’une mise à jour officielle.
C’est une étude conjointe d’une université de l’Indiana et du centre de recherche de Microsoft qui a permis de lever ce lièvre, dont les conséquences semblent potentiellement bien pires que la faille SSL qui avait ridiculisé Apple. Reste à voir si la réaction médiatique sera aussi impitoyable pour ce gros trou de sécurité d’Android.
