Dans une présentation qui sera faite à la Black Hat en juillet, le chercheur en sécurité Jeff Forristal de BlueBox Labs, expliquera en détail l’exploitation du bug de sécu Android n°8219321. Officialisée en février de cette année par Google, cette faille permet à un attaquant de modifier le code d’un APK sans casser la signature numérique de celui-ci.

Concrètement, cela signifie qu’il est parfaitement possible de cacher dans une application légitime et reconnue comme telle par Android, un malware qui aurait alors accès au système du téléphone. Je vous laisse imaginer les dégâts et les fuites d’info que cela peut permettre.

Cette vulnérabilité est effective depuis la version 1.6 d’Android alias Donut. Cumulés depuis 4 ans, ce sont donc plus de 900 millions de téléphones qui sont touchés, soit 99% du parc Android. On en saura plus dans quelques semaines lors de sa conf baptisée « Android: one root to own them all » et sur le site de BlueBox Labs.

Espérons que les constructeurs et Google patchent rapidement cette faille.