Attention danger pour les utilisateurs Android, Microsoft met en garde contre une faille de sécurité qui met en périls vos applications et vos données. Appelée Dirty Steam par les chercheurs, la vulnérabilité est sérieuse et menace potentiellement des milliards de smartphones. Elle provient de la manière dont les applications Android communiquent et plus spécifiquement du système de « fournisseur de contenu » de l’OS de Google. Ce dernier est là pour gérer l’accès aux données destinées à être partagées entre différentes applications, soit un rôle d’intermédiaire important qui comprend un système d’autorisations.
Le problème est qu’il est possible de contourner le système de sécurité en utilisant des « intents personnalisés ». Des applications malveillantes peuvent alors envoyer un fichier avec un nom ou un chemin d’accès trompeur à une application légitime. Cette dernière va exécuter le fichier et le stocker dans un répertoire critique, laissant la porte ouverte à l’attaquant. Ce dernier disposera d’un « contrôle total sur le comportement d’une application », explique Microsoft dans son rapport. La firme va plus loin en expliquant que le pirate sera en mesure « d’accéder aux comptes et aux données sensibles de l’utilisateur », présents sur le smartphone.
Le groupe de Redmond poursuit en indiquant avoir identifié plusieurs applications vulnérables dans le Google Play Store. Au total, ces applications cumulent plus de quatre milliards d’installations et Microsoft suspecte que la vulnérabilité pourrait être trouvée dans d’autres applications. Dans cette liste, on trouve notamment le gestionnaire de fichiers de Xiaomi (plus de 1 milliard d’installations) et WPS Office (plus de 500 millions d’installations). Via une application comme Mi File Manager, la faille va jusqu’à ouvrir l’accès à d’autres appareils en récupérant les identifiants SMB et FTP. Sans les citer, Microsoft précise avoir découvert la faille dans au moins deux autres applications avec plus de 500 millions d’installations chacune.
Que dois-je faire sur mon smartphone Android ?
Le plus important, comme le rappelle Microsoft, et de maintenir ses applications à jour via le Google Play Store. Le constat est valable pour toute autre source fiable, afin de bénéficier des mises à jour correctives déployées par les développeurs. Xiaomi a déjà déployé un correctif dans la version V1-210593, comme WPS avec la version 17 de son application. Même si ce n’est pas spécifique à cette faille, on vous conseille aussi de mettre à jour votre appareil et de vérifier les autorisations accordées à chaque application.
Microsoft a également prévenu Google afin que la firme de Mountain View modifie ses consignes de sécurité à destination des développeurs d’applications Android. L’entreprise explique qu’elle partage ses travaux afin que les développeurs et éditeurs puissent prendre les mesures nécessaires.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Dirty steam ou dirty stream ? Faudrait savoir 🙄