Deux nouvelles failles dans Android permettent l’installation d’applications sur le terminal sans l’intervention de l’utilisateur.

Des chercheurs en sécurité viennent de démontrer deux nouvelles vulnérabilités qui permettent à des personnes malveillantes d’installer des applications, tout en validant le processus des permissions, sans l’approbation de l’utilisateur.

Lors de l’installation d’une application, les utilisateurs doivent accepter de lui donner certaines permissions. Le contournement de cette étape permet alors d’installer n’importe quel spyware, malware, trojan…

Les deux vulnérabilités dévoilées ne concernent pas le noyau (kernel) d’Android (basé sur GNU/Linux), mais la couche utilisateur.

Un spécialiste en sécurité, dénommé Nils, a trouvé sur plusieurs téléphones HTC que le navigateur web intégré disposait des droits pour installer d’autres applications (INSTALL_PACKAGES). Cela est utilisé afin de mettre à jour le plugin Flash Lite intégré. Cependant les personnes malveillantes peuvent exploiter « cette fonctionnalité » s’ils trouvent une autre faille en parallèle. C’est notamment le cas avec la  faille qui concerne les téléphones sous Android 2.1 et inférieurs que nous vous dévoilions récemment.

La deuxième faille a été dévoilée par un spécialiste d’Android, Jon Oberheide. Elle touche l’Account Manager (Gestionnaire de compte) et génére un jeton/token d’authentification pour l’Android Market afin d’obtenir tous les droits nécessaires pour installer une application. Cependant une application spécialement conçue doit être préalablement installée.

Mais le spécialiste vient de prendre une application d’exemple qui pourrait mettre en erreur les utilisateurs. Angry Birds vient d’être mis à jour et 45 nouveaux niveaux viennent d’apparaître. Cette application consiste à faire croire qu’elle télécharge ces niveaux :

Après être installée, l’application va télécharger et installer trois autres applications Fake Toll Fraud (droit d’envoyer des SMS), Fake Contact Stealer et Fake Location Tracker, sans demander quoi que ce soit à l’utilisateur.

Depuis Google a supprimé toutes ces applications de l’Android Market, par le processus de suppression à distance.

Concernant l’Android Market, les applications malveillantes sont rares et Google agit rapidement pour les supprimer. Ce fut notamment le cas de SMS Replicator qui transmettait à un autre téléphone tous les SMS reçus. Ces informations ne sont pas encourageantes au premier abord, mais il faut noter que les plateformes populaires sont plus soumises à la découverte de failles, car plus de personnes les utilisent.

Source : Android Community