Une attaque affecte le navigateur d’Android 2.1 et ses versions antérieures.

M.J. Keith, un chercheur en sécurité vient de mettre en ligne un code qui cible le navigateur par défaut d’Android 2.1-. Cette attaque permet d’accéder à la ligne de commande (shell) du terminal, lorsque le mobinaute se rend sur un site avec ce code.

Ce bug affecte en réalité le moteur de rendu du navigateur : WebKit, également utilisé dans Safari ou Chrome.

Google est au courant de cette vulnérabilité :

« Nous sommes au courant d’un problème dans WebKit qui pourrait affecter seulement les vieilles versions du navigateur d’Android.

Le problème ne touche pas Android 2.2 et les versions supérieures »

Mais Google oublie de préciser, que selon ses propres statistiques, Android 2.2 ne représente que 36,2% des terminaux. Cela veut donc dire que 63,8% des terminaux sont concernés, le problème est donc sérieux.

De par l’architecture d’Android, le code malicieux ne peut accéder qu’aux éléments que le navigateur peut lire/écrire. Par exemple, il ne pourra ni envoyer un sms, ni passer un appel. En revanche, le navigateur peut accéder à la carte SD et le code pourrait envoyer des photos sur un serveur, ou même supprimer certains fichiers.

En attendant un éventuel correctif, il est conseillé d’utiliser un navigateur comme Opera Mini qui utilise un autre moteur de rendu.

Source : ComputerWorld