Près de la moitié des terminaux Android sont vulnérables à une attaque qui pourrait remplacer des applications légitimes par des logiciels malveillants pouvant collecter des données sensibles. Si Google, Samsung et Amazon ont publié des correctifs pour leurs appareils, 49,5% des utilisateurs d'Android sont encore vulnérables selon Palo Alto Networks, qui a découvert le problème. Google a indiqué qu'il n'a pas détecté de tentatives d'exploitation de la faille.

Une application malveillante installée en utilisant cette vulnérabilité, baptisée « Android Installer Hijacking », obtiendrait un accès complet au terminal, incluant des données telles que les noms d'utilisateur et mots de passe, a indiqué Xu Zhi, ingénieur chez Palo Alto. La société a décrit deux exploits tirant parti de cette faille, qui concerne la façon dont les APK (packages d'applications Android) sont installés.

 Une vulnérabilité limitée aux sources inconnues

Cette vulnérabilité affecte uniquement les applications qui sont installées depuis une source inconnue, comme l’App-Shop d’Amazon. Les experts en sécurité recommandent généralement la prudence lors du téléchargement des apps à partir de ces sources.

 Les applications téléchargées à partir de sources tierces placent leurs fichiers d'installation APK dans une mémoire de stockage non protégée, comme une carte SD, précise M. Xu. Ensuite, une application système appelée PackageInstaller termine l'installation. La faille permet de modifier ou de remplacer un fichier APK pendant l'installation, sans que personne le sache.

 Mise à jour conseillée vers KitKat minimum

Lorsque la faille a été découverte, en janvier 2014, près de 90% des appareils Android étaient vulnérables. Ce chiffre est depuis tombé à 49,5%, mais de nombreux terminaux n’ont pas été patchés. Les exploits de Palo Alto ont réussi avec les versions Android 2.3, 4.0.3 à 4.0.4, 4.1.x et 4.2.x. La version 4.4 d'Android résout le problème. Certains Android 4.3 dispositifs peuvent encore être affectés, cependant, puisque certains fabricants ne l’ont pas encore patché.

Google a publié un patch, et Amazon recommande de télécharger la dernière version de son logiciel App-Store, qui mettra à jour ses terminaux Fire. Palo Alto a également développé une application Android qui permet de détecter si un terminal est toujours vulnérable.