La faille, qui affecte la plupart des terminaux sous Android, permet à des applications de composer des appels téléphoniques non autorisés, d'interrompre des appels en cours et d'exécuter des codes spéciaux susceptibles de déclencher d'autres actions malhonnêtes. La vulnérabilité a été découverte l'an dernier par des chercheurs travaillant pour le consultant en sécurité berlinois Curesec et signalée à Google. Ceux-ci pensent que la faille existe depuis la version 4.1.x d'Android, alias Jelly Bean. Mais il semble qu'elle a été corrigée dans la version 4.4.4 d'Android, livrée le 19 juin dernier. Le bug permet aux applications d'interrompre des appels sortants ou de passer des appels, en particulier vers des numéros surtaxés, sans autorisation et sans intervention de l'utilisateur. Elle permet donc de contourner le système de sécurité d'Android selon lequel, en temps normal, les applications ne peuvent pas initier d'appels téléphoniques sans l'autorisation CALL_PHONE.

La faille peut également être exploitée pour exécuter des codes USSD (Unstructured Supplementary Service Data), SS (Supplementary Service) ou MMI (Man-Machine Interface). Ces codes spéciaux, que l'on peut composer avec le pavé numérique, sont insérés entre les touches * et #. Ils varient selon les terminaux et les opérateurs et peuvent être utilisés pour accéder à diverses fonctions du terminal ou services de l'opérateur. « La liste des codes USSD/SS/MMI est longue et certains contrôlent des fonctions très puissantes, comme modifier le renvoi d'appels, bloquer la carte SIM, activer ou désactiver le masquage d'appel et ainsi de suite », ont écrit avant le week-end dans un blog le CEO de Curesec, Marco Lux, et le chercheur Pedro Umbelino.

Une app malveillante qui peut se mettre en action lorsque l'utilisateur dort

Cette nouvelle vulnérabilité pourrait continuer à être exploitée par des logiciels malveillants pendant un certain temps, dans la mesure où la fréquence de sortie des correctifs pour les terminaux Android est très lente et l'OS n'est jamais mis à jour sur un grand nombre de mobiles. « Un attaquant pourrait, par exemple, inciter les victimes à installer une fausse application et l'utiliser ensuite pour appeler des numéros surtaxés dont il est propriétaire ou des numéros réguliers pour écouter les conversations captées par le micro du téléphone », a déclaré Bogdan Botezatu, analyste principal spécialisé en e-menace chez Bitdefender. Celui-ci a également confirmé l'existence du bug trouvé lundi par les chercheurs de Curesec. « Le déclenchement d'appel vers des numéros surtaxés semble le plus plausible, d'autant qu'Android ne filtre pas ces numéros surtaxés pour la voix comme il le fait avec les messages texte ».

L'attaque n'est pas totalement indétectable puisque les utilisateurs peuvent voir que le téléphone passe un appel, mais certaines méthodes peuvent rendre la détection plus difficile. « Une application malveillante pourrait attendre qu'il n'y ait aucune activité sur le téléphone avant de lancer un appel ou exécuter l'attaque uniquement pendant la nuit », a déclaré Marco Lux, lundi, par courriel. « L'application pourrait également recouvrir l'écran avec l'interface d'un jeu pendant que l'appel est passé », a-t-il ajouté. Les chercheurs de Curesec ont créé une application qui permet de vérifier si le terminal sous Android est exposé ou non, mais celle-ci n'est pas disponible sur le Google Play. D'après ce que sait Marco Lux, Google scannerait désormais sa boutique d'applications pour détecter les apps qui tentent d'exploiter la vulnérabilité. « La seule protection possible pour les utilisateurs qui ne peuvent pas encore faire la mise à jour vers Android 4.4.4 serait de disposer d'une application séparée capable d'intercepter tous les appels sortants et demander confirmation avant de continuer », a expliqué le CEO de Curesec.