Une nouvelle faille de sécurité vient d’être découverte et permet l’accès aux données de la carte SD. Cela concerne toutes les versions d’Android.

Récemment, nous vous indiquions que deux failles avaient été découvertes sur Android permettant l’installation d’application tierces, sans que l’utilisateur n’en soit informé.

Aujourd’hui une nouvelle faille vient d’être identifiée par Thomas Cannon et si elle est exploitée, des personnes malveillantes pourraient accéder à vos données sur la carte SD. Cela concerne toutes les versions d’Android, dont Froyo. L’accès aux fichiers système est impossible, grâce à la sandbox d’Android.

Cependant, la récupération de fichiers n’est pas simple, car le hacker doit connaître le nom exact du fichier. Mais si on considère les photos et vidéos, le système génère toujours le même type de nom, en incrémentant simplement le numéro de la photo.

Mais l’équipe chargée de la sécurité sur Android travaille actuellement sur une correction, que l’on espère être rapide.

Voici une vidéo de la faille :

En détails, voici le principe pour accéder aux fichiers de la carte SD :

  1. L’utilisateur clique sur un lien
  2. Le navigateur Android le télécharge
  3. Il est possible, en utilisant du Javascript, d’automatiser l’ouverture du fichier. Celui ci est alors lu par le navigateur, sans que l’utilisateur n’en soit notifié
  4. Le code Javascript pourra alors ouvrir les fichiers (sur la carte SD uniquement)

La seule solution (en est-elle une ?) est d’attendre la sortie de Gingerbread, qui corrigera la faille. Pendant ce temps, il est très important de ne pas télécharger des documents ou de code HTML dans vos emails de personnes inconnues.

Sinon vous pouvez suivre les conseils de Google, à savoir démonter votre carte SD lors de votre connexion à internet. Mais le problème reste entier sur le moyen de patcher : mise à jour via le market (à priori impossible car le navigateur est une application système), via une mise à jour classique (OTA), ou autre …

Source : rigeIt