Android : une faille pour tout voir et tout enregistrer

Android fait tout ce qu’il peut pour sécuriser Android mais la fragmentation du système plombe ses efforts. Ainsi, selon un chercheur, un milliard de terminaux fonctionnent aujourd’hui avec un OS obsolète depuis plus de deux ans. Et parfois, Google renforce lui même ces difficultés en patchant des failles de manière parcellaire.

 

Le vrai message affiché par MediaProjection lorsqu’il est activé

 

Le faux message qui peut être superposé 

Dernier exemple en date avec une faille dans le service MediaProjection. Ce dernier permet d’enregistrer tout ce qui se passe à l’écran mais lorsqu’il est activé, un message l’indique clairement à l’utilisateur. Le bug permet de superposer un autre message sur cet avertissement afin de leurrer le mobinaute. Un pirate peut donc créer une application qui utilise MediaProjection en toute discrétion.

La découverte de MRW Labs a bien évidemment été communiquée à Google en janvier dernier qui a donc poussé un correctif en août mais seulement pour Android 8.0, le dernier OS en date présent pour le moment sur seulement 0,3% des smartphones Android actifs. Du coup, en prenant en compte Android 5 à 7, c’est près de 78% du parc qui est vulnérable à cette faille.

ZDNet