Par le biais de l'API Android ou d'un programme spécifique

L'app montrée par le chercheur en sécurité affiche la demande d'autorisation de weblogin parce qu'il utilise l'API Android standard pour obtenir le token. Toutefois, si elle utilise un programme développé à dessein pour récupérer les privilèges racines sur le terminal, elle sera capable de voler le token sans demander de confirmation à l'utilisateur. L'app est restée environ un mois sur Google Play avant que quelqu'un, sans doute, signale qu'il s'agissait d'un élément malveillant. Pendant toute cette période, rien n'a indiqué qu'elle avait été examinée par Bouncer, le service Google Play qui recherche les apps malveillantes sur la boutique de Google, selon Craig Young. Et si elle a été repérée par Bouncer, rien ne le signalait, ce qui soulève quelques inquiétudes sur l'efficacité du service.

Interrogé sur ce sujet jeudi dernier, Google n'avait pas encore fourni de réponse au moment de la publication de l'article. La plupart des antivirus pour Android fourni par des éditeurs connus n'ont pas non plus identifié l'app comme un malware. En revanche, une application veillant à la confidentialité a bien listé que l'app avait accès aux comptes, a précisé le chercheur.

Multiplier les verrous est l'une des parades

« La présentation d'aujourd'hui a montré qu'avec un peu d'ingéniosité et quelques efforts, on peut facilement contourner des systèmes qui semblent bien protégés », a commenté Alexandru Catalin Cosoi, responsable de la sécurité du fournisseur d'antivirus Bitdefender, interrogé par notre confrère d'IDG News Service.

La seule façon de prévenir ce type d'actions est d'augmenter le coût des attaques, de façon à ce que, lorsqu'un verrou est franchi, il s'en trouve un nouveau qui nécessite d'être à son tour ouvert, a indiqué A. Cosoi. On trouve régulièrement des failles. Pour améliorer des systèmes comme Bouncer, il faut faire des recherches continuelles et  rendre les attaques plus difficiles afin qu'elles soient abandonnées.

Les entreprises ne devraient pas autoriser leurs administrateurs informatiques à utiliser des comptes Google sur leurs terminaux sous Android s'ils sont aussi des administrateurs de Google Apps, estime de son côté Craig Young, de Tripwire.