Accueil » Actualité » Fake ID, une faille Android qui a fait peur

Fake ID, une faille Android qui a fait peur

Image 1 : Fake ID, une faille Android qui a fait peurAndroid Security

Bluebox Security a révélé la présence d’une faille de sécurité importante qui affecte tous les terminaux Android depuis la version 2.1. Notre titre hyperbolique se moque du fait qu’il en a fallu peu pour mettre le feu aux poudres d’Internet. Si la faille est réelle, il convient de prendre du recul et placer l’affaire dans son contexte au lieu de crier panique pour rien.

Une faille sérieuse qui touche un nombre important de terminaux

Très schématiquement, la faille Fake ID permet à un malware de s’authentifier en utilisant la signature d’une application connue afin de masquer sa vraie origine. La firme donne l’exemple d’un virus se faisant passer pour un logiciel d’Adobe Systems ou de Google et qui serait ainsi capable de devenir un cheval de Troie ou de voler les données utilisées par Google Wallet en acquérant les permissions nécessaires sans l’aide de l’utilisateur.

La faille est donc sérieuse. Néanmoins, Google a déjà été mis au courant, il a déjà publié un correctif qu’il a envoyé à ses partenaires, il a corrigé la faille dans Android 4.4 KitKat, il a scanné son Google Play et peut dire qu’aucune application dans son store n’utilise cette faille de sécurité. Enfin, Verify Apps, qui surveille le comportement des applications sur un terminal Android, est aussi corrigé et permet de détecter une application tentant d’exploiter Fake ID.

Un correctif déjà en place et une faille d’une portée très limitée qui montrent tout de même que Google a encore des efforts à faire en terme de sécurité

Bref, il est vrai qu’il est possible d’être victime de cette faille, mais il faut disposer d’un terminal qui n’a pas été mis à jour, télécharger une application contenant le malware qui ne provient pas de Google Play et avoir désactivé Verify Apps ou disposer d’une version d’Android qui en est dépourvu. Autant dire que les cas concernés sont très limités.

Cette faille montre tout de même que Google a du travail à faire en ce qui concerne sa stratégie sécuritaire. Le mois dernier, nous décriions des fonctionnalités laxistes sur le Play Store. Aujourd’hui, nous avons affaire à une faille d’une faible portée, mais qui a été découverte en analysant les manquements du code source du système d’exploitation.