Check Point Software Technologies Ltd. a annoncé aujourd’hui que son équipe de chercheurs a découvert une vulnérabilité dans Android qui affecte les appareils de grands fabricants tels que LG, Samsung, HTC et ZTE. L’équipe a communiqué ce matin ses conclusions lors d’une session d’information de la conférence Black Hat USA 2015 qui se déroule actuellement à Las Vegas.
« Certifi-gate » est une vulnérabilité qui permet à des applications d’obtenir des droits d’accès privilégiés généralement utilisés par des applications d’assistance à distance qui sont soit pré-installées ou installées à la demande sur les appareils. Des agresseurs peuvent exploiter Certifi-gate pour obtenir un accès sans restriction aux appareils, et dérober des données personnelles, localiser les appareils, activer le microphone pour enregistrer des conversations, et plus encore.
Android ne dispose d’aucun moyen de révoquer les certificats fournissant les autorisations privilégiées. Sans correctif ni aucune solution raisonnable, les appareils sont exposés dès leur première utilisation. Tous les fabricants touchés par Certifi-gate ont été informés par Check Point et ont commencé à publier des mises à jour. La vulnérabilité ne peut être corrigée et ne peut être mise à jour que lorsqu’une nouvelle version du système d’exploitation est envoyée aux appareils ; un processus notoirement lent. Android ne dispose également d’aucun moyen de révoquer les certificats utilisés pour signer les plugins vulnérables.
« Chaque jour, des gens dans le monde entier utilisent des appareils mobiles pour gérer les aspects importants de leurs activités : ils accèdent à leur messagerie professionnelle, gèrent leurs comptes bancaires et mesurent leur santé, » déclare Dorit Dor, vice-président des produits chez Check Point Software Technologies. « Le problème est qu’ils se soucient rarement de savoir si leurs données sont protégées. Cette vulnérabilité est très facile à exploiter, et peut conduire à des fuites et la diffusion des données personnelles des utilisateurs. Il est temps de prendre la sécurité mobile au sérieux. »
Source : Check Point Software Technologies