D’après des experts en sécurité, un bug datant de 4 ans sur Android permettrait à des malwares d’apparaître comme des applications vérifiées
Bluebox Labs explique que ce bug existe depuis la sortie d’Android 1.6 Donut et qu’il affecte 99% des dispositifs tournant sous Android.
En temps normal, les applications sont vérifiées avec des signatures chiffrées, de sorte que les mises à jour modifiées soient automatiquement rejetées si la clef ne correspond pas à celle fournie par le développeur d’origine. Mais Bluebox affirme avoir trouvé un moyen de modifier le fichier APK d’une application sans en modifier la signature.
Cette modification permettrait ainsi à des individus d’infecter des dispositifs ayant une mise à jour corrompue.
Heureusement, la faille a peu de chance d’avoir été exploitée à ce jour. Son exploitation n’est pas possible depuis le Google Play, mais un utilisateur pourrait être tenté d’accéder à une mise à jour de son application depuis un site tiers ou des apps store privés.
Découverte depuis février 2013, Samsung aurait presque immédiatement patché son Galaxy S4, mais du côté de la gamme Nexu, aucune mise à jour n’a été faite.
