Le changelog d’Android 4.4.2 résout déjà la faille liée aux attaques de SMS Flash

 

Parce qu’il faut toujours chercher la faille pour mieux assurer la sécurité d’un système, une déficience avait été découverte il y a quelques jours sur Android, et qui concernait les messages de classe 0, ou SMS Flash. La mise à jour 4.4.2 de KitKat vient corriger cette vulnérabilité. 

4.2.2

Tout début décembre, lors d’une conférence sur la sécurité, le Roumain Bogdan Alecu présentait la faille de sécurité touchant les appareils récents, dans le cas de réception de multiples messages Flash. L’administrateur système et chercheur en sécurité avait mis au jour cette vulnérabilité : les smartphones recevant une série de messages Flash risquaient en effet de se bloquer, de s’éteindre, voire de se réinitialiser quand un grand nombre de messages s’est affiché sur l’appareil. Rappelons en effet que ces appareils ne sont pas sujets à des notifications sonores mais s’affichent sous forme de pop-up sur l’écran, tandis que l’arrière-plan devient noir pour lui laisser suffisamment de lisibilité. C’est notamment le type de messages utilisé dans le cadre de diffusions d’urgence par les autorités.

Il y a quelques heures, le code source d’Android 4.4.2 a été publié dans les fichiers de l’AOSP, sous le nom android-4.4.2_r1, connu également sous le nom de KOT49H (après KOT49E pour 4.4.1). L’intérêt de l’histoire, si ce n’est que les ROM custom pourront s’appuyer sur ces données, c’est qu’un changelog est apparu du côté de la fameuse faille découverte par Alecu. On le doit à Al Sutton, qui apporte ici un patch bloquant les attaques de SMS Flash découvertes en début de mois. Concrètement, les SMS de classe 0 reçus sur un appareils ne seront plus simplement empilés sur l’écran d’accueil (jusqu’à blocage), mais seront mis en file d’attente jusqu’à effacement complet. Une bonne nouvelle pour ceux qui craignaient que des malfaisants s’amusent à bloquer leur appareil, mais qui s’accompagne d’une nouveauté moins satisfaisante, puisqu’elle semble de plus en plus éloigner des mains de l’utilisateurs l’application App Ops, qui permet de gérer les permissions octroyées aux applications.