L’Android Market a été patché contre une faille XSS. Elle permettait d’installer des applications à distance, sans le consentement de l’utilisateur.

L’Android Market web a été annoncé en même temps que la version finale de Honeycomb. Cette boutique avait été présentée au Google I/O 2010, mais il aura fallu attendre de longs mois avant qu’il ne soit accessible au grand public. Globalement il remplit correctement sa tâche, mais certains utilisateurs (de ROMs alternatives notamment) se plaignent de ne pas pouvoir l’utiliser. De même, il est fréquent que le service soit indisponible.

Les problèmes se suivent pour Google, qui vient à nouveau de subir (indirectement) une vulnérabilité sur son système Android. La semaine dernière, plus de 50 applications utilisaient un trou de sécurité. Il pouvait attribuer un accès root et ainsi communiquer des données, sans que l’utilisateur ne s’en rende compte. Aujourd’hui, nous apprenons que l’Android Market a été une nouvelle fois la victime d’une faille. Cette fois-ci, il s’agit de la version web. La vulnérabilité est de type XSS, c’est-à-dire cross-site scripting, une faille permettant un changement du comportement normal du service. Dans le détails, il permet à un hackeur d’installer à distance une application, sans même demander l’autorisation à l’utilisateur.

Cette découverte a été faite par un spécialiste en sécurité Android, Jon Oberheide. Elle se trouve dans le champs de description d’une application sur le Market. Ce champs pouvait permettre aux hackers d’injecter du code Javascript, qui est exécuté lorsque le navigateur se rend sur la page. Un script malveillant pouvait donc utiliser le processus d’installation à distance, à condition que l’utilisateur soit identifié.

Par chance, le processus ne lance pas l’application installée sur le téléphone, pour la majorité d’entre elles. En effet, si dans le manifest, l’application déclare nécessiter d’autres installations (PACKAGE_ADDED) ou d’être réveillée en standby (ACTION_USER_PRESENT), elle va pouvoir répondre à des appels extérieurs. D’après les retours, la faille était relativement complexe, ce qui empêchait n’importe quel individu de l’utiliser. Depuis, Google a bouché le problème.

De nombreux professionnels avaient souligné le caractère dangereux de l’installation d’applications à distance. Celui implémenté par Google est particulièrement risqué, car aucune interaction ne doit être effectuée par l’utilisateur, sur le périphérique cible. La seule indication est l’apparition de l’application dans la zone de notifications. Espérons que Google renforce sa politique sécuritaire, sans quoi Android se verrait décrédibilisé.

Source : H Online