Malgré la disponibilité d’un patch correctif, les smartphones de plusieurs constructeurs seraient toujours vulnérables. 

C’est une importante faille de sécurité qui a été décelée sur les smartphones Android. Une découverte que l’on doit à l’entreprise spécialisée en sécurité Checkmarx, dont les propos ont été rapportés par ArsTechnica et Frandroid. Cette faille est particulièrement inquiétante puisque les applications malveillantes ne nécessitent aucune autorisation préalable pour exploiter cette vulnérabilité.

Il suffit qu’un accès au stockage du smartphone leur soit accordé pour manipuler les caméras des téléphones Android. Or, cette autorisation est l’une des plus fréquemment sollicitées et obtenues lors de l’installation d’une application. Selon les chercheurs en sécurité, contactés par ArsTechnica, le fait que les applications malveillantes n’aient pas besoin d’autorisation spéciale pour exploiter les caméras viendrait du fait que Google a rendu ces mêmes caméras utilisables avec les commandes vocales de Google Assistant.

Selon les chercheurs en sécurité, les pirates pourraient même connaitre la position GPS de leurs victimes dans le cas où les données de géolocalisation sont activées sur les photos et vidéos. Dans ce cas, les hackers n’auraient qu’à passer en revue les métadonnées des photos et vidéos sur lesquelles ils ont réussi à mettre la main pour connaitre le lieu où se trouvent leurs victimes.

Averti du problème, Google a corrigé la faille sur ses smartphones et a mis à disposition d’autres constructeurs un patch correctif. Pour l’instant, seul Samsung semble avoir pris le problème au sérieux puisqu’il a colmaté la brèche, mais le patch correctif ne semble pas encore avoir été appliqué. De son côté, la maison mère d’Android – Google – a laissé entendre que plusieurs constructeurs de smartphones n’avaient pas encore déployé le patch correctif sur leurs téléphones.

« La capacité d’une application à récupérer les données de l’appareil photo, du microphone et de la position GPS est considérée comme hautement intrusive par Google lui-même », peut-on lire dans le rapport d’enquête de Checkmarx.

Afin d’estimer avec précision l’ampleur des dégâts qui résulterait de l’exploitation de cette faille, les chercheurs en cybersécurité ont mis au point une application malveillante et ont exploité la faille. Il en est ressorti que les possibilités étaient nombreuses et inquiétantes. Cependant, les chercheurs ont indiqué qu’en cas d’attaque, l’écran du smartphone affichait l’aperçu des photos capturées ce qui devrait alarmer les victimes.