Les téléphones Android peuvent être infectés en recevant simplement une image par message texte, selon une étude publiée lundi.
C’est probablement la plus grosse faille de smartphone jamais découverte. Il affecte environ 950 millions de téléphones dans le monde — environ 95% des Androïdes utilisés aujourd’hui.
Le problème provient de la façon dont les téléphones Android analysent les messages texte entrants. Avant même d’ouvrir un message, le téléphone traite automatiquement les fichiers multimédias entrants, y compris les images, l’audio ou la vidéo. Cela signifie qu’un fichier chargé de logiciels malveillants peut commencer à infecter le téléphone dès qu’il est reçu, selon Zimperium, une entreprise de cybersécurité spécialisée dans les appareils mobiles.
Si cela vous semble familier, c’est parce que cette faille Android ressemble un peu au récent piratage de texte d’Apple.
Mais dans ce cas, un message texte avec juste les bons caractères pourrait figer un iPhone ou le forcer à redémarrer. Cette faille Android est pire, car un pirate pourrait prendre le contrôle complet du téléphone: essuyer l’appareil, accéder à des applications ou allumer secrètement l’appareil photo.
Dans une déclaration à CNNMoney, Google (GOOGL) a reconnu la faille. Il a assuré qu’Android avait des moyens de limiter l’accès d’un pirate à des applications et des fonctions téléphoniques distinctes. Pourtant, les pirates ont pu surmonter ces limites dans le passé.
Le bug affecte tout téléphone utilisant un logiciel Android fabriqué au cours des cinq dernières années, selon Zimperium. Cela inclut les appareils fonctionnant sous les itérations Froyo, Gingerbread, Honeycomb, Ice Cream Sandwich, Jelly Bean, KitKat et Lollipop d’Android (Google nomme ses versions Android par ordre alphabétique après les desserts).
Zimperium a déclaré avoir averti Google de la faille le 9 avril et a même fourni un correctif. La société affirme que Google a répondu le lendemain, assurant qu’un correctif serait partagé avec les clients à l’avenir.
Généralement, dans ces situations, les entreprises bénéficient d’un délai de grâce de 90 jours pour émettre un correctif. C’est une règle que même Google respecte lorsqu’il trouve des failles dans les logiciels des autres.
Mais cela fait 109 jours, et un correctif n’est toujours pas largement disponible. C’est pourquoi Zimperium rend maintenant publique la nouvelle.
Le problème maintenant est de savoir à quelle vitesse Google parviendra à résoudre ce problème pour tout le monde. Alors qu’Apple peut diffuser des mises à jour sur tous les iPhones, Google ne le peut pas.
Google est connu pour avoir un système de distribution fracturé. Plusieurs entités se situent entre Google et ses utilisateurs et ralentissent régulièrement la sortie de nouveaux logiciels. Il existe des opérateurs téléphoniques – comme chez & T (T) et Verizon (VZ) – et des fabricants d’appareils physiques – comme Samsung (SSNLF) – qui doivent tous travailler ensemble pour émettre des mises à jour logicielles.
Google a déclaré à CNNMoney qu’il avait déjà envoyé un correctif à ses « partenaires. »Cependant, on ne sait pas si l’un d’entre eux a commencé à le faire savoir aux utilisateurs eux-mêmes.
Pour cette raison même, Google a récemment mis en ligne ses propres téléphones Nexus pour recevoir les mises à jour.
Cela pourrait être un cas de test qui montre pourquoi il est si important de recevoir des mises à jour rapidement.
Chris Wysopal est un pirate informatique de longue date et maintenant un cadre de la société de cybersécurité Veracode. Il a appelé cette version d’Android de Heartbleed, le bug dévastateur qui a mis des millions de réseaux informatiques en danger l’année dernière.
« Je suis intéressé de voir si Google propose un moyen de mettre à jour les appareils à distance », a-t-il déclaré. « À moins qu’ils ne puissent le faire, nous avons un gros désastre entre les mains. »