Selon plusieurs experts, la majorité des appareils fonctionnant sous le système d’exploitation Android de Google sont susceptibles à des piratages. Une faille dans la cryptographie d’Android permet à des applications malveillantes de contourner des sécurités, afin de voler des informations, lire des e-mail et les historiques de paiement des utilisateurs.
Des chercheurs de Bluebox Security affirment que la vulnérabilité existe dans Android depuis la sortie de la version 2.1, au début de l’année 2010. Elle accorde aux applications malveillantes un accès spécial aux ressources Android, qui sont généralement hors de portée. Les développeurs de Google ont introduit des changements qui limitent certains des dommages que les applications malveillantes peuvent faire dans Android 4.4, mais le bug sous-jacent reste non corrigé, même dans le snapshot 5.0.
Dans des conditions normales, le sandbox empêche les programmes d’accéder aux données appartenant à d’autres applications, ou à des parties sensibles du système d’exploitation. Certaines applications, cependant, sont autorisées à sortir de la sandbox. C’est le cas d’Adobe Flash version 4.4, par exemple, qui est autorisé à agir comme un plugin pour toute autre application installée sur le téléphone, sans doute pour lui permettre d’ajouter des animations et un soutien graphique. De même, Google Wallet est autorisé à accéder à la Near Field Communication (NFC), technologie servant à traiter des informations de paiement.
Selon Jeff Forristal, CTO de Bluebox Security, Android ne parvient pas à vérifier la chaîne de certificats utilisés pour certifier une application appartenant à cette classe d’élite de programmes super-privilégiés. En conséquence, une application malveillante développée pourrait inclure un certificat non valide, se présentant comme Flash, Wallet, ou toute autre application codée en dur dans Android. Le système d’exploitation donnerait alors à la fausse application les mêmes privilèges spéciaux affectés à l’application légitime, sans jamais prendre le temps de détecter le faux certificat.
Les changements apportés à Android 4.4 limitent certains des privilèges Android pour le format Flash. Pourtant, Forristal affirme que l’absence de vérification de la chaîne de certificat est visible dans tous les appareils Android depuis 2.1.
Cela signifie que les applications malveillantes peuvent contourner toutes les sécurités, en se faisant passer pour Google Wallet ou d’autres applications Android codées en dur.
