L’application Android de Google, avec plus de 5 milliards de téléchargements, a été corrigée après qu’un chercheur a découvert qu’elle était vulnérable à une attaque qui aurait pu permettre aux pirates d’obtenir des données sensibles à partir des téléphones des utilisateurs, des messages Gmail à l’historique des recherches. Les utilisateurs doivent s’assurer qu’ils exécutent la dernière version de l’application pour éviter d’être touchés par une attaque dans le monde réel, a déclaré le chercheur.

Exploiter les faiblesses pour voler des informations sur le téléphone ou la tablette d’un utilisateur nécessiterait également l’installation d’une autre application malveillante sur l’appareil. De nombreux logiciels malveillants de ce type existent et visent le système d’exploitation des smartphones de Google. Les vulnérabilités de l’application Android, d’abord découvert par Sergey Toshin, le fondateur basé à Moscou de la startup de sécurité pour smartphones Oversecured, réside dans la façon dont il charge le code à partir d’autres parties du système d’exploitation. Les logiciels Android utilisent souvent le code de différentes applications ou fichiers du système d’exploitation pour lancer certaines fonctionnalités. Si un pirate informatique peut empoisonner ce processus, comme Toshin l’a fait dans son piratage de validation de principe, il peut amener une application à récupérer un code malveillant, ce qui peut potentiellement voler des données ou abuser des processus de l’outil.

Pour ce faire avec le logiciel Google Android, Toshin a combiné trois vulnérabilités différentes « pour un impact maximal ». Lorsqu’ils étaient exploités ensemble, il était possible d’ajouter un nouveau code malveillant à la bibliothèque Google Play Core, qui était utilisée par l’application Android de Google. Lorsque ce logiciel malveillant était accédé par l’application, il pouvait commencer à récupérer des données ou à détourner ses fonctions. « Cela fera partie de l’application avec un accès à toutes les ressources et fonctionnalités », a déclaré Toshin.

« L’application de l’attaquant n’avait besoin de se lancer qu’une seule fois pour que cette attaque réussisse. Après cela, même si l’application était supprimée, la fonctionnalité malveillante continuerait d’être présente dans l’application Google de manière indépendante », a écrit le chercheur de 24 ans dans un rapport remis à Forbes avant la publication jeudi.

Toute attaque contre la propre application de Google serait particulièrement puissante, étant donné l’accès qu’elle a à une grande partie des données sur un smartphone. Cela inclut l’historique de recherche d’un utilisateur et tout ce qu’il a recherché à l’aide de l’assistant vocal. L’application est également autorisée à intercepter les droits de l’application, ce qui signifie qu’un pirate informatique exploitant les vulnérabilités pourrait lire et envoyer des messages texte, accéder aux contacts et à l’historique des appels, passer et recevoir des appels, allumer le microphone ou la caméra et saisir l’emplacement de l’utilisateur. Tout cela se produirait en silence, sans le consentement ou la notification de l’utilisateur.

De telles faiblesses ne sont pas rares et ont déjà été observées dans des applications de grandes entreprises technologiques. Toshin, par exemple, trouvé un problème similaire dans l’application Android de TikTok.

Toshin a déclaré qu’Oversecured avait informé Google en février et avait été récompensé par le géant de la technologie avec une prime de 5 000 $ pour les bogues.

Google a déclaré que le problème avait été corrigé en mai. Si les utilisateurs ont activé les mises à jour automatiques, ils ne devraient rien avoir à faire. Pour les autres, ils devront mettre à jour manuellement l’application. « Nous avons créé notre programme de récompenses de vulnérabilité spécifiquement pour identifier et corriger des vulnérabilités comme celle-ci. Nous apprécions la participation d’Oversecured et de l’ensemble de la communauté de la sécurité à ces programmes. Nous avons déployé un correctif pour nos utilisateurs il y a plus d’un mois et n’avons vu aucune preuve d’exploitation. »