Jusqu’à récemment, l’application Android homonyme de Google, qui compte plus de cinq milliards d’installations à ce jour, présentait une vulnérabilité qui aurait pu permettre à un attaquant de voler discrètement des données personnelles sur l’appareil d’une victime.

Sergey Toshin, fondateur de la startup de sécurité des applications mobiles Oversecured, a déclaré dans un article de blog que la vulnérabilité a à voir avec la façon dont le Application Google repose sur du code qui n’est pas fourni avec l’application elle-même. De nombreuses applications Android, y compris l’application Google, réduisent leur taille de téléchargement et l’espace de stockage nécessaire pour s’exécuter en s’appuyant sur des bibliothèques de codes déjà installées sur les téléphones Android.

Mais la faille dans le code de l’application Google signifiait qu’elle pouvait être amenée à extraire une bibliothèque de code d’une application malveillante sur le même appareil au lieu de la bibliothèque de code légitime, permettant à l’application malveillante d’hériter des autorisations de l’application Google et de lui accorder un accès presque complet aux données d’un utilisateur. Cet accès comprend l’accès aux comptes Google, à l’historique de recherche, aux e-mails, aux SMS, aux contacts et à l’historique des appels d’un utilisateur, ainsi que la possibilité de déclencher le microphone et la caméra et d’accéder à la position de l’utilisateur.

L’application malveillante devrait être lancée une fois pour que l’attaque fonctionne, a déclaré Toshin, mais que l’attaque se produit à l’insu de la victime ou sans son consentement. La suppression de l’application malveillante ne supprimerait pas les composants malveillants de l’application Google, a-t-il déclaré.

Un porte-parole de Google a déclaré à TechCrunch que la société avait corrigé la vulnérabilité le mois dernier et qu’elle n’avait aucune preuve que la faille avait été exploitée par des attaquants. Le scanner de logiciels malveillants intégré à Android, Google Play Protect, est destiné à empêcher l’installation d’applications malveillantes. Mais aucune fonctionnalité de sécurité n’est parfaite, et des applications malveillantes se sont déjà glissées dans ses filets.

Toshin a déclaré que la vulnérabilité de l’application Google est similaire à un autre bogue découvert par la startup dans TikTok plus tôt cette année, qui, s’il était exploité, aurait pu permettre à un attaquant de voler les jetons de session d’un utilisateur TikTok pour prendre le contrôle de son compte.

Oversecured a découvert plusieurs autres vulnérabilités similaires, notamment L’application Google Play d’Android et, plus récemment, applications préinstallées sur les téléphones Samsung.

Leave a Reply