M.J. Keith, chercheur en sécurité informatique chez Alert Logic, affirme avoir écrit un code lui permettant de faire exécuter une simple ligne de commande shell par Android, lorsque la victime visite un site web contenant son code d'attaque, en utilisant une faille dans le moteur du navigateur WebKit. Google a confirmé, par la voix de son porte-parole Jay Nancarrow, qu'elle connaissait l'existence de cette vulnérabilité. « Nous savons que WebKit présente un problème qui pourrait affecter les anciennes versions du navigateur d'Android. Mais celui-ci ne concerne pas Android 2.2 ou les versions ultérieures, » a t-il déclaré.

Selon Google, 36,2 % des téléphones sous Android sont équipés de la version 2.2. C'est le cas en particulier des modèles Droid et Evo 4 d'HTC. Seuls des téléphones plus anciens, comme le G1 et le Droid Eris d'HTC, dont le logiciel ne peut pas être mis à jour, pourraient présenter un risque. Mais, parce qu'Android compartimente les différentes composantes du système d'exploitation, l'attaque de M.J. Keith, qui passe par le navigateur, ouvre à tout ce que lit le navigateur, mais ne donne pas un accès complet à la racine d'un téléphone piraté. Cela signifie que l'attaque ne pourrait probablement pas être utilisée pour lire ou envoyer des messages SMS ou effectuer des appels, mais pourrait permettre de voler des photos sur le téléphone ou de s'emparer de l'historique de navigation. « On peut prendre le contrôle total sur le contenu de la carte SD, » a t-il déclaré dans une interview. « S'ils utilisent leur navigateur pour accéder à quoi que ce soit, il doit être possible d'avoir la main sur ces choses là, » a t-il ajouté.




Une faille exploitable sur plusieurs plates-formes


WebKit est un logiciel Open Source utilisé par les navigateurs Safari et Chrome, mais aussi de nombreux autres produits. La faille de WebKit que M.J Keith envisage d'exploiter avait déjà été rendue publique, mais le chercheur l'a maintenant mise à profit contre Android. Il a soumis son attaque sur le site Exploit Database, mais celle-ci n'a pas encore été mise en ligne. Les professionnels de la sécurité sont conscients de l'existence de nombreux bugs non corrigés dans les composants des téléphones mobiles, mais cela fait peu de temps que les smartphones suscitent l'intérêt sérieux dont profitent les systèmes d'exploitation et les applications Windows. C'est le signe que ces questions deviennent de plus en plus de notoriété publique.

En 2008, le chercheur en sécurité Charlie Miller avait remporté 10 000 dollars lors d'un concours de piratage. Il avait réussi à exploiter un bug situé dans le PCRE (Perl Compatible Regular Expressions) inclus dans la bibliothèque WebKit pour Mac. Quelques mois plus tard, il montrait que la même faille pouvait être utilisée pour réaliser une attaque contre Android. « A l'époque, celle-ci avait était corrigée dans WebKit, mais pas dans le système d'exploitation Android, » a indiqué Charlie Miller dans une interview. La semaine dernière, lors d'un audit de sécurité, Coverity a identifié plus de 359 défauts potentiels dans le code source du kernel du système d'exploitation Linux d'Android. Selon son analyse, un quart d'entre eux sont à haut risque et pourraient conduire à des attaques similaires à celle imaginée par M.J. Keith.

La fragmentation d'Android nuit à la difusion d'un patch

L'attaque de M.J Keith met en évidence un problème bien plus grave, lié au nombre multiple de fabricants de téléphones et de fournisseurs de services par lequel Android est distribué. Si l'iPhone ou le BlackBerry nécessitent un correctif de sécurité, Apple ou Research in Motion peuvent le livrer directement à leurs utilisateurs. Mais avec Android, rien de tel : c'est aux fabricants ou aux opérateurs réseau qu'il revient de diffuser les mises à jour logicielles pour les smartphones tournant sous le système d'exploitation de Google. Et tous ne prévoient pas de faire passer leurs téléphones à la version 2.2. « À l'heure actuelle, le problème avec Android, c'est que les gens ne disposent pas immédiatement du patch nécessaire, » a déclaré Robert Graham, PDG d'Errata Security, qui s'attend à voir plus d'attaques du type WebKit dans l'avenir.