Android : Google corrige la faille Fake ID
qui permet à un malware d'usurper l'identité d'une application connue

L’entreprise spécialisée en sécurité Bluebox Labs a découvert une faille dans la manière dont la sécurité des applications est vérifiée sur Android, et qui affecte toutes les versions du système d’exploitation mobile depuis janvier 2010 : de la version 2.1 Eclair à la version 4.4 KitKat.

Baptisée Fake ID, la faille permet à un malware d’utiliser une signature d’une application connue afin de masquer sa vraie origine. « Elle permet un accès spécial aux ressources Android qui sont normalement hors-limites à des applications malveillantes. Un peu comme un permis de conduire frauduleux qu'un adolescent pourrait utiliser pour entrer dans un endroit interdit aux mineurs », avancent les chercheurs.

« Fake ID peut être utilisé par un malware pour s'affranchir de la sandbox normale pour les applications, et réaliser une ou plusieurs actions : insérer un cheval de Troie dans une application en se faisant passer pour Adobe Systems, accéder aux données de paiement NFC en usurpant l'identité de Google Wallet, ou prendre le contrôle complet de l'appareil en se faisant passer pour 3LM ». En clair, un malware pourrait par exemple s’attribuer l'identité associée à Google Wallet, le portefeuille électronique intégré à Android, pour obtenir ainsi un accès aux informations de paiement de l'utilisateur. En usurpant les outils de gestion de terminaux destinés aux entreprises, il est même possible de prendre à distance le contrôle intégral de l'appareil.

En avril dernier, Bluebox en a averti Google qui a d’ores et déjà poussé un correctif sur AOSP et vers les OEM partenaires. Par ailleurs, Google a précisé que son outil de vérification des applications installées, qui a été mis à jour, n’a pas rencontré de malware exploitant cette vulnérabilité. Cependant, pour éviter les mauvaises surprises, les utilisateurs sont invités à rester prudents, notamment en téléchargeant les applications depuis la vitrine officielle et non depuis des vitrines tierces, en mettant à jour leur terminal mobile aussi fréquemment que possible, en évitant de télécharger des contenus de n’importe quel site et, si possible, en se munissant d’un programme antivirus.

Source : Bluebox Labs