Voilà une faille que l'on peut qualifier de majeure. Elle a été découverte par des chercheurs de l'Université de l'Indiana et de Microsoft. Ceux-ci affirment avoir découvert une faille au coeur du système d'exploitation Android, faille qui touche au processus de mise à jour de celui-ci. Le principe est expliqué en détail dans ce document PDF.

Cette faille est baptisée Pileup, pour privilege escalation through updating, en bon français : escalade de privilège par la mise à jour.

Le principe est le suivant : une application Android malicieuse peut demander des privilèges qui n'existent pas encore sur la version du système d'exploitation sur lequel elle est installée. Lorsque la mise à jour de l'OS est effectuée, les privilèges demandés par l'application malicieuse sont accordés automatiquement, sans même que l'utilisateur en soit informé. Bien évidemment, une telle application est alors potentiellement capable de voler vos donnés confidentielles.

Les chercheurs affirment avoir détecté six vulnérabilités de ce type dans le Package Management Service (PMS) d’Android et précisent que ces failles toucheraient l’ensemble des versions d’Android Open Source Project (AOSP).  "Ces défauts affectent tous les appareils Android dans le monde, laissant planer une menace sur des milliards d’utilisateurs Android qui sont encouragés à mettre à jour leur système".

Les mêmes chercheurs ont mis en ligne une application permettant de scanner les applications potentiellement dangereuses. Les liens vers l'application (Google Play, SlideMe, etc) sont accessibles depuis cette page. 

Source : www.begeek.fr