Une importante faille de sécurité, surnommée « Fake ID » et présente dans Android depuis 2010 vient d’être rendue publique. C’est Bluebox Labs a identifié une faille critique sur Android, qui permet l’accès aux données sensibles de l’utilisateur et la prise de contrôle de l’appareil.
Google assure qu’elle est désormais corrigée, sans avoir jamais été exploitée à des fins malhonnêtes.
Bluebox Labs, une entreprise spécialisée en sécurité, a identifié et révélé hier une faille touchant les appareils (smartphones et tablettes) tournant sous Android depuis la version 2.1. Baptisée Fake ID, elle a été immédiatement signalée à Google et largement commentée par Bluebox sur son blog. Fake ID est d’ores-et-déjà considérée comme l’une des plus importantes vulnérabilités ayant jamais frappé le système d’exploitation mobile de Google. Son existence remonte en effet à la version 2.1 d’Android, en 2010, ce qui fait que des centaines de millions de téléphones auraient pu en être victimes ces dernières années.
Fake ID est une faille qui permet, si elle est exploitée, l’accès aux données sensibles des utilisateurs d’Android. Rien n’est épargné, juge Bluebox, pas même les données relatives au moyen de paiement. Particulièrement inquiétant, d’autant que l’utilisateur n’a même pas besoin d’accorder la moindre permission à un éventuel malware pour que l’exploit soit possible.
Le correctif a été poussé sur AOSP et vers les OEM partenaires. Google précise par ailleurs qu’il a mis à jour son outil de vérification des applications installées et n’a pas rencontré de malware exploitant la faille. En clair, les utilisateurs courent un risque relativement maîtrisé s’ils suivent les habituelles recommandations de sécurité :
- éviter les visites sur des sites suspects et dans tous les cas, ne rien télécharger à partir de ceux-ci ;
- se contenter des app stores connus et reconnus ;
- vérifier systématiquement les permissions accordées à un programme ;
- mettre à jour son appareil à chaque fois que possible ;
- éventuellement, utiliser un logiciel antivirus.
Les commentaires sont fermés.