Android : Un chercheur en cybersécurité a alerté sur des failles concernant les applications de Google

CYBERSECURITE Averti du problème, Google a depuis publié une mise à jour correctrice

Jennifer Mertens pour 20 Minutes

— 

Android: les applications de Google victimes d’une faille de sécurité
Android: les applications de Google victimes d’une faille de sécurité — Geeko

Plusieurs applications signées Google ont présenté une faille de sécurité jugée critique pendant plusieurs mois. Découverte par le chercheur en cybersécurité Sergey Toshin, la vulnérabilité permettait à des personnes mal intentionnées d’injecter du code malveillant et de mettre la main sur les données personnelles de leurs victimes ; localisation, contacts, etc. Outre les nombreux dégâts auxquels pouvait amener l’exploitation de cette faille, c’est surtout en raison du nombre de victimes potentielles qu’elle était critique. Cette dernière était en effet présente dans toutes les applications de Google. Or, étant donné qu’elles sont pré-installées sur les smartphones et tablettes Android, l’ensemble des utilisateurs était concerné par cette vulnérabilité.

Google Search, Assistant, Gmail, Maps, Drive et compagnies s’appuient des ressources partagées pour fonctionner. Cela leur permet de peser moins lourd sur les smartphones, mais cela signifie aussi qu’elles partagent des informations avec d’autres parties du système d’exploitation et qu’elles accèdent à Internet. C’est là que la faille se trouvait. Sans entrer dans les détails techniques, des hackers pouvaient intercepter ces échanges et injecter du code malveillant.

Le média Forbes – qui a partagé l’information – indique tout de même qu’il aurait fallu que les victimes installent une application tierce malveillante pour que l’exploitation de la faille soit possible. Or, étant donné que les mesures de protection du Play Store sont régulièrement déjouées par des applications malicieuses, le risque était bien présent.

En plus des informations personnelles, exploiter cette faille permettait d’accéder aux ressources du smartphone ; caméra frontale, microphone, capteur GPS, mais aussi de passer des appels. Malheureusement, supprimer l’application vérolée n’arrangeait pas la situation puisqu’une fois le code malveillant déployé sur le téléphone, il y restait.

Une mise à jour correctrice

Le chercheur a prévenu Google en début d’année. Il a d’ailleurs été récompensé pour sa découverte et son signalement par la firme américaine. Cette dernière a depuis développé un correctif disponible depuis plusieurs semaines déjà, encore faut-il avoir installé la mise à jour. Si le correctif est disponible depuis un moment déjà, la faille n’a été révélée que récemment par le chercheur qui l’a découverte

Si vous n’avez pas activé les mises à jour automatiques, faites un tour par le Play Store pour installer le correctif manuellement. Rendez-vous sur la boutique d’applications de Google, sélectionnez votre avatar et appuyez sur « Gérer les applications et l’appareil ». Rendez-vous sur « Gérer », puis « Mises à jour disponibles ». Sélectionnez les apps à mettre à jour et appuyer sur le bouton « V » pour lancer le processus.

Vous pouvez également activer les mises à jour automatiques pour bénéficier des correctifs et améliorations dès qu’ils sont disponibles. Pour cela, appuyez sur votre avatar depuis le Play Store, puis sur « Paramètres » et « Préférences réseau ». Enfin, sélectionnez « Mettre à jour automatiquement les applications » et le tour sera joué. Vous pouvez choisir qu’elles se mettent à jour uniquement via le wifi ou via n’importe quel réseau.