Un chercheur de l’Université de Caroline du Nord a découvert une faille de sécurité majeure sur Android, pouvant être exploitée dans le cadre d’une escroquerie au phishing par SMS.

faille de sécurité

Cette faille semble particulièrement dangereuse dans la mesure elle n’a guère besoin de permissions pour fonctionner. Le chercheur Xuxian Jiang, à l’origine de la découverte de cette vulnérabilité, déclare : 

Si une application infectée est téléchargée par un utilisateur, ce dernier recevra des messages dont les expéditeurs seront d’apparence amicale, comme vos amis ou votre banque. Une fois mis en confiance, l’utilisateur sera plus enclin à communiquer des renseignements personnels.

Ce problème concerne la quasi-totalité des versions d’Android car il est présent dans l’Android Open Source Project (AOSP). Jiang et son équipe ont su reproduire la faille sur le Samsung Galaxy Nexus, Nexus S, Galaxy S III et le HTC One X.

L’équipe de Jiang a contacté Google qui a très vite réagi. La faille a été confirmée et on peut s’attendre à ce qu’un patch pointe le bout de son nez dans très peu de temps. Une fois le correctif déployé, Jiang sera en mesure de dévoiler les détails de cette faille de sécurité. En attendant, il a ajouté qu’elle était difficile à détecter, mais facilement exploitable, une fois découverte.

La vulnérabilité ne concerne que les applications provenant de sources inconnues, mais prudence tout de même dans vos téléchargements. Vérifiez les permissions exigées par les applications.

Source : pcadvisor.co.uk