Google vient de boucher une faille XSS qui permettait l'installation involontaire d'applications.
Avec l'arrivée de l'Android Market Web, certains hackers se sont intéressés de près aux failles exploitables, en voilà une en moins. En effet, Google a récemment bouché une faille XSS (cross-site scripting pour les intimes) sur le site web de sa boutique en ligne car cette dernière permettait aux hackers d'installer à distance, et ce sans permission, des applications sur les smartphones de clients Android.
Il semblerait que Google ait quelque peu de mal à protéger son service de boutique en ligne comme Apple l'a fait avec le sien puisqu'il y a quelques jours, 56 applications avaient été supprimées pour cause de contamination virale. Néanmoins, gageons que Google soit en train de rectifier le tir. Selon Jon Oberheide, spécialiste de la sécurité du système Android ayant découvert la faille exploitée, cette dernière se trouve dans le champ de description d'une application. De ce fait, lorsque l'on accède à la page depuis le navigateur web, un script Java malveillant placé par les hackers s'active et permet l'installation d'applications (à condition que l'utilisateur soit identifié tout de même). S'il s'agit d'applications payantes, le retrait bancaire s'effectue-t-il ? Aucune information n'a été donné la-dessus.
Heureusement, la faille ne permettait pas aux applications de s'ouvrir après installation forcée. En effet, ces dernières nécessitaient le téléchargement de paquets additionnels ou autre. De plus, la faille étant complexe, peu de pirates pouvaient l'utiliser.
Espérons désormais que Google fasse plus attention à sa politique d'installation d'application à distance pour qu'il n'y ait aucune interaction dangereuse pour la sécurité du système (et de nos appareils).
