Kaspersky pense que la gestion de crise, pour l’élimination de Droid Dream, par Google, est discutable, d’autant plus que la faille n’est pas bouchée.

La semaine dernière, plus de cinquante applications malveillantes ont été supprimées de l’Android Market. Elles contenaient le malware Droid Dream. Comme de nombreux autres vers, il envoyait des données personnelles du téléphone : le numéro du téléphone, son modèle, son opérateur, la langue… vers un serveur. Mais ce n’est pas tout, puisqu’il arrivait à exploiter une faille, permettant d’obtenir le droit root (super-utilisateur possédant toutes les permissions). Une fois obtenu, il téléchargeait du code, qui pouvait alors être très nuisible pour l’utilisateur. En effet, Droid Dream devenait une menace forte, car il pouvait faire n’importe quoi, n’importe quand. Google a rapidement réagit en supprimant les applications concernées de sa boutique. Malheureusement, plusieurs dizaines de milliers d’utilisateurs avaient téléchargé au moins une des cinquante applications. Grâce à la possibilité de suppression d’applications à distance, les téléphones ont été nettoyés des applications, mais seulement partiellement. Si le téléphone était sous Android 2.2.2+ (corrigeant notamment le bug du sms), aucun risque pour le possesseur du smartphone.

Pour le reste, il fallait alors agir vite, car seule l’application initiale était supprimée, le malware était toujours présent sur le téléphone. Google a donc choisit d’installer automatiquement sur les téléphones infectés, l’Android Market Security Tool March 2011. Cette application supprime toutes les références de Droid Dream, sur le système. Dans le détail, elle obtient le privilège root, désinstalle le malware, puis se supprime elle même. Notez qu’elle est également disponible sur l’Android Market, si vous voulez vous assurer de n’avoir aucun problème.

Kaspersky, éditeur de solutions sécuritaires, a pris la parole contre la manière de faire de Google. Selon cette entreprise, l’installation de l’application appliquant le patch, sans demander l’autorisation à l’utilisateur, est une approche discutable. De ce point de vue, il est vrai que Google va à l’encontre du « droit » de ses clients. Seulement, pour les non-geeks, il était important qu’une procédure rapide et unifiée soit mise en oeuvre. C’était certainement le meilleur choix de côté là. 

Cependant, des analystes de Kaspersky ont montré que la faille n’était en aucun cas bouchée. Dit autrement, si une autre application se base sur Droid Dream, ou une variante, le vers pourrait à nouveau rentrer en action. L’Android Market a été patché pour éviter que de nouvelles applications soient soumises. Mais il reste les markets alternatifs, ou encore les sites illégaux. Un appel à la prudence est donc de mise. Nous vous conseillons également d’avoir un regard critique sur les permissions des applications, quitte à contacter directement le développeur.

En parallèle, nous apprenons via Symantec, que l’Android Market Security Tool March 2011 est disponible sur des markets illégaux. Seulement, cette version est infectée d’un malware proche du « Fake 10086 ». Il envoie l’IMEI, le numéro de téléphones et d’autres données moins importantes vers un serveur tiers. Pour les asiatiques, ce vers est un peu plus dangereux, car il va tenter d’envoyer et recevoir des SMS de numéros surtaxés. Pour les autres, c’est plus un problème de vie privée. Pour supprimer le « Fake 10086 », il suffit simplement de supprimer l’application téléchargée du terminal. Pour l’instant, seule l’application de Symantec (sur l’Android Market) est capable de détecter et supprimer ce nouveau malware.

Pour les terminaux disposant de l’Android Market, essayez tant que possible d’utiliser uniquement cette source. Pour les autres, utilisez les outils fournis avec votre téléphone/tablette. Le système Android s’est fortement assombri, au point que Google va devoir améliorer drastiquement sa politique, sans quoi il pourrait perdre des clients.