Après Stagefright, la nouvelle menace qui effraie les utilisateurs d’Android s’appelle Certifi-gate. Cette fois-ci, le problème ne vient plus du code AOSP, mais des constructeurs et des opérateurs qui rajoutent des outils de prise de contrôle à distance.

certifigate

La semaine dernière, les utilisateurs d’Android tremblaient devant Stagefright, la menace trouvée dans le code source du système de Google et touchant 95 % des téléphones. Alors qu’un grand nombre d’appareils seront mis à jour très rapidement pour combler cette faille, voilà que l’entreprise spécialisée dans la sécurité Check Point vient de révéler un autre danger potentiel, touchant cette fois-ci les constructeurs tiers.

Baptisée « Certifi-gate », cette vulnérabilité touche non pas le système Android en lui-même, mais les outils de support à distance (ou mRST pour mobile Remote Support Tool) intégrés dans les téléphones par les constructeurs tiers et les opérateurs. Servant à l’origine à prendre la main sur les terminaux afin d’effectuer des maintenances SAV à distance, ces outils peuvent être accessibles par des esprits malintentionnés, qui peuvent alors prendre le contrôle total du terminal, sans limitation d’autorisation, et récolter des données personnelles ou encore activer le micro pour l’espionner. Pour cela, il leur suffit de tromper les vérifications de ces mRST afin de se faire passer pour un membre du support technique et ainsi obtenir tous les privilèges sur le téléphone.

De nombreuses victimes pour un problème qui ne sera pas corrigé rapidement

Selon Check Point, cette faille toucherait des centaines de millions d’appareils, puisqu’elle vise non seulement certaines applications du Google Play Store comme TeamViewer Quick Support ou RemoteCare, mais également les solutions pré-embarquées sur les téléphones par les constructeurs et opérateurs. Cela étant, la mise à jour corrective venant combler cette faille sera déployée au bon vouloir des concernés. Difficile de dire donc quand cette vulnérabilité sera définitivement enterrée. En attendant, il est toujours possible de télécharger Certifi-gate Scanner afin de savoir si son terminal est sensible à ce genre d’attaques ou non. Cela ne permet pas de se protéger, mais être informé est déjà un premier pas dans la bonne direction.