Faille de sécurité : quand les applications utilisent les permissions des autres
Certains constructeurs permettent aux applications d'utiliser les privilèges des autres.
Aujourd'hui, lorsqu'un utilisateur télécharge une application sur l'Android Market, il lui est indiqué à quelles fonctions du téléphone celle-ci aura accès. Ces autorisations sont divisées en treize catégories regroupant par exemple la fonction d'appel, de communication réseau (internet), des messages (SMS/MMS), de stockage (mémoire interne du téléphone), de l'appareil photo, etc. Cela permet généralement d'identifier les applications malveillantes, en repérant des demandes d'autorisations quelque peu incongrues (un jeu demandant l'accès aux messages par exemple).
Cependant, des chercheurs de la North Carolina State University ont découvert que cela ne suffisait pas pour protéger nos données personnelles en prenant huit téléphones comme objet d'étude : le HTC Legend (Android 2.1), le HTC EVO 4G (Android 2.2.2), le HTC Wildifre S (Android 2.3.2), le Motorola Droid (Android 2.2.2), le Motorola Droid X (Android 2.2.1), le Samsung Epic 4G (Android 2.1), le Google Nexus One (Android 2.3.3) et le Google Nexus S (Android 2.3.3). Le but était de prouver qu'une application n'ayant pas les droits d'accès spécifiques pouvait tout de même envoyer des SMS, enregistrer une conversation ou effacer des données sans l'accord de l'utilisateur.
En utilisant un outil de leur conception appelé Woodpecker, l'équipe cherche parmi les applications préinstallées celles qui permettent d'utiliser leurs privilèges sans autorisation. Le constat est édifiant : huit des treize catégories d'accès ont ainsi pu être obtenues au total.
Cette faille se divise en deux types : "explicite" et "implicite". Alors que la faille "implicite" permet uniquement d'utiliser les droits d'accès d'une application signée par le même certificat digital (et donc développée par la même personne), "l'explicite" quant à elle peut passer par n'importe quelle application.
Fort heureusement, tous les téléphones ne présentent pas la même vulnérabilité et les Nexus montrent une résistance particulièrement élevée par rapport à leurs homologues HTC, Motorola ou Samsung. Bien évidemment, cette faille de sécurité a été présentée à Google et aux différents constructeurs concernés afin qu'ils puissent la corriger. Si la firme de Moutain View et Motorola ont confirmé cette vulnérabilité, il semblerait qu'il ait été plus difficile de contacter Samsung et HTC.
Cette faille sera-t-elle rapidement corrigée ? Sur les anciens terminaux, il y a peu de chance...
Merci à Chmeuhmeuh d'avoir signalé l'actualité.