Lors de la Defcon 2013, une conférence sur la sécurité qui se déroule ces jours-ci, a été rendue publique une faille de sécurité dans Android qui utilise une erreur dans le protocole d’authentification de Google.
Craig Young, un chercheur et expert en sécurité, a souligné que la faille pourrait, si elle était exploitée, donner l’accès aux intrus à tous les services Google associés au compte de l’utilisateur.
La faille provient d’une fonctionnalité d’Android appelée “weblogin“, qui permet aux utilisateurs de s’inscrire à un service Google en utilisant le compte de son téléphone. Pratique, mais le problème, explique Young, c’est que cette facilité d’accès est très pratique aussi pour les cybercriminels. Il suffit d’obtenir un accès aux données de weblogin afin d’accéder à tous les services Google utilisés par le téléphone Android, puis également obtenir un accès physique au téléphone.
Pour prouver sa découverte, Young a créé une application qui peut voler vos informations de Weblogin. L’application, un outil “simple” pour suivre le rendement de ses actions sur le marché boursier, demande la permission lors de son installation pour trouver les comptes associés au téléphone (ce qui est tout à fait normal et ne constitue pas, en soi, tout type de danger). Mais une fois téléchargée, l’application demande l’accès à votre compte Google Finance et ainsi avoir accès à tous les autres services Google que vous utilisez, tels que Gmail et Google Drive.
L’application est même disponible sur le Google Play, bien que dans la description, il a clairement indiqué qu’il s’agissait d’un malware et qu’elle ne devait pas être installée par un utilisateur. Le système d’identification des logiciels malveillants Google n’a pas non plus été en mesure de reconnaître qu’il s’agissait d’une application dangereuse. Même les antivirus les plus communs pour les téléphones mobiles, tels que Avast! ou Norton, n’ont rien détecté.
Google a été informé du problème de sécurité et travaille actuellement dessus. Young a rappelé aux utilisateurs que pour l’instant le seul moyen de se protéger est de porter une attention particulière lors de l’installation d’une application, et de répondre “non” à toute demande qui contient le mot “weblogin”, ou ID.
Via (PCWorld)
Lire aussi:
Sécurité: Facebook sur Android collecte vos numéros sans votre permission
Android: un nouveau virus redoutable découvert par Kaspersky
