Certifi-gate, tel est le nom donné à une vulnérabilité découverte par des chercheurs de Check Point au sein du système d'exploitation Android. Elle permet à des pirates d'accéder sans restriction à l'appareil via des applications et ainsi, selon Check Point, « de dérober des données personnelles, localiser les appareils, activer le microphone pour enregistrer des conversations, et plus encore ».
Check Point a fait part de cette vulnérabilité lors de la conférence sur la sécurité informatique Black Hat 2015 à Las Vegas. Certains fabricants de smartphones ont préchargé de façon non sécurisée des outils de support à distance sur leurs terminaux Android, ce qui fournit aux pirates un moyen de prendre le contrôle de ces terminaux à travers des apps malveillantes ou même des messages SMS. Google a confirmé cette vulnérabilité, selon le site Golem. Mais Check Point rappelle qu'Android ne dispose d'aucun moyen de révoquer des certificats fournissant des autorisations privilégiées. Seule une mise à jour du système d'exploitation pourra permettre de supprimer cette faille de sécurité.
Check Point a mis à disposition dans le Play Store l'app Certifi-gate Scanner pour permettre aux possesseurs d'appareils Android de tester la vulnérabilité de leur téléphone. Les appareils de fabricants tels que LG, Samsung, HTC et ZTE sont affectés.
Commentaire