La faille de sécurité d’Android qui pourrait vous coûter une fortune

Date de dernière mise à jour : le 18 avril 2016 à 15 h 55 min

Si le caractère open source d’Android offre un avantage considérable à l’utilisateur, elle n’en reste pas moins une porte ouverte aux malwares et c’est justement le cas avec la dernière faille de sécurité d’Android découverte par la firme de sécurité Curesec et relayée par IDG News Service.

D’après le dernier rapport, une faille présente au sein de la plupart des versions de l’OS antérieures à Android 4.4.4 KitKat permet aux applications d’effectuer des appels téléphoniques non autorisés et de perturber les appels en cours.

faille de sécurité Android
Une nouvelle faille de sécurité pour Android !

Dangereuse et intrusive, cette faille pourrait potentiellement permettre aux applications de passer des appels vers des numéros surtaxés pouvant ainsi alourdir les factures des usagers de plusieurs centaines d’euros.

Concrètement parlant, celle-ci permet à certaines applications de mettre fin aux appels sortants ou d’appeler un numéro, surtaxé ou non, sans interaction de l’utilisateur, même si celles-ci ne disposent pas des autorisations. Elles contournent ainsi le modèle de sécurité d’Android où les applications ne disposant pas l’autorisation de CALL_PHONE ne devraient pas, dans des circonstances normales, être en mesure de lancer des appels téléphoniques.

Si entre la découverte d’une faille de sécurité et son exploitation, il y a un pont on ne peut nier qu’en l’absence d’un correctif, le risque reste malheureusement présent.

Comme nous l’apprend le rapport de Curesec, la faille à depuis été signalée à Google qui l’a aussitôt corrigée via la mise à jour Android 4.4.4 KitKat, toutefois, elle est toujours bien présente au sein de l’ensemble des moutures de Jelly Bean ainsi que dans les versions 4.4.1, 4.4.2 et 4.4.3 de KitKat soit chez un peu plus de 70% des utilisateurs de l’OS de Google.

Des chiffres qui font un peu peur quand on sait que certains de ces appareils ne seront sans doute jamais mis à jour et ne profiteront donc jamais des nouvelles mesures de sécurité mises au point par Google avec Android L.

Via

Réagissez à cet article !
  • PEBKAC

    En quoi est-ce une faille ? L’autorisation demandée a été acceptée par l’idiot d’utilisateur. Il est bien précisé, par Android lui-même, qu’il y a un risque d’appel vers des numéros surtaxés.

    Le seul problème, c’est la fainéantise de l’utilisateur lambda. Wow.

    • David

      je partage ton avis, comme sur PC, l’utilisateur est seul responsable!
      Autrement il y a ça du la team XDA
      http://korben.info/xprivacy-trompez-les-applications-android-fausses-donnees.html

    • Emoroid

      Nomme moi des application qui ne demande jamais d’autorisation d’.avoir acces a plusieur ressource du mobile? ils ont tous besoin d’autorisation pour s’installer… aussi ben dire que c dla marde!

      • NoComment

        Permission Friendly Apps , Parefeu sans root etc … Il y en a quand même ! mais quand on voit certaines appli comme des lampes qui peuvent accéder a énormément d’autorisations malgré le dernier épurage de Google il y a de graves soucis à se poser sur la confidentialité et la sécurité !!!

      • PEBKAC

        Comme le dit NoComment, une application qui sert à utiliser la lampe torche pourrait très bien te demander :

        • nowolves

          Bla bla tu doit faire sûrement parti de la grande famille de cons qui ne lis pas non plus les contrats de 400 pages pour s’inscrire a des sites lambda, c’est le même principe donc bon avant de la ramener..

          • Maxime Vlt

            Pas du tout, Pebkac à raison. la difference entre les autorisation et les ” 400 page” c’est que c’est autorisation peine 20 seconde à lire, et c’est ses 20 seconde qui peuvent sauvé ton téléphone. Mais bon c’est comme sur PC , tu télécharge n’importe quoi et après tu viens te plaindre parce que tu te fais pirater. Mdr.

          • PEBKAC

            Merci. Mais “nowolves” est très certainement un… PEBKAC. Rien de surprenant !

          • Maxime Vlt

            Ou un type qui n’a pas d’argument et qui est un Mouton de chez Apple. ^^

      • Bartwix

        Pourtant j’en ai déjà installé et il ni avait aucune demande d’autorisation… Mais je ne me rappelle plus les quels ? Mais j’en ai telecharge 2 sur

    • toftof

      Il y a bien une faille! comme j’essaie de le dire depuis 3 plombe (mais on arrete pas de censurer mon commentaire), c’est une énorme erreur de traduction lisez l’article en anglais

      • PEBKAC

        Oui. On censure n’importe comment ici. Ce n’est pas étonnant que la traduction soit incorrect et/ou bâclée. Pas du tout étonnant, crois-moi… :)

        • toftof

          Bon au moins ils ont corrigé l’erreur (sans un merci ni même reconnaitre qu’ils en ont fait une, mais bon pas grave on va pas faire le pinailleur) :D!

    • Bartwix

      Mais la ils détournent les autorisations… Donc même si il ni avait rien à accepter bah il le fait quand même…. Purée c’est chaud non

  • Barakoo

    On nous a habitué à plus qualitatif…
    On dirait un article rédigé par un administrateur de chez Clubic.fr …
    Ils sont pro-apple ces mecs là, et ça me gave le manque d’objectivité des sujets. C’est pour cela que je boycott Clubic.
    C’est pas vraiment une faille ça…
    Comme d’habitude, le problème se trouve derrière le smartphone. (l’utilisateur lambda)

  • Thera

    Merci pour l’amalgame open source = malware. J’avais oublié que l’OS ayant le plus de malware, Windows, était open source…
    Comme dit par PEBKAC (qui a un pseudo de circonstance ;) ) si les utilisateurs font de la m*rde, c’est quand même pas de la faute de l’OS…

    • PEBKAC

      Je ne comprends pas, certains de mes messages passent en modération et JAMAIS ils n’en sortent vivants. Je me demande quels mots-clés activent la protection.

      En tout cas, +1 pour le pseudo de circonstance :)

  • hackuloss

    Reste plus un embobinage de l utilusateur, du mal a croire que ceci soit réellement considéré comme “fail”

  • toftof

    C’est juste que la personne qui a écrit cet article à fait une très mauvaise traduction : il y a bien une faille, et les applications incriminées N’ONT PAS BESOIN de demander les permissions…
    Faudrait peut être apprendre un peu l’anglais quand mène car la, pour le coup, la faute est grave…
    Aux lecteurs : Lisez la source en anglais quand vous avez un doute….
    Je cite :
    The issue allows applications without any permissions whatsoever to terminate outgoing calls or call any numbers, including premium-rate ones, without user interaction. This bypasses the Android security model, where apps without the CALL_PHONE permission should not, under normal circumstances, be able to initiate phone calls.

  • Martin

    Au pire je suis déjà sous 4.4.4 ;) Je m’en bats les steaks ^^

  • roxas

    Voila pourquoi il faut passer d’un S3 au S5 ^^.

    • iAndroid

      D’autres te répondront “Voilà pourquoi il faut passer chez Apple”.
      Et question sécurité, Apple a le mérite de supporter plus longtemps ses devices que ne le font les constructeurs avec Android.
      Google n’a rien à se reprocher puisqu’il met à jour sa gamme Nexus, mais le gros problème vient de la fragmentation d’Android et le bon-vouloir laissé aux constructeurs de faire ce qu’ils veulent.
      Il est grand temps que Google prenne le taureau par les cornes et impose aux constructeurs les mises à jour surtout quand cela concerne la sécurité.

      • roxas

        En fait je faisais référence à samsung concernant le passage du S3 au S5 ;-)

  • toftof

    Je bloque ce site qui censure les commentaires des qu’il a tort. Et ceci sans même donner la moindre explication… Je me demande pourquoi je l’ai pas bloqué depuis plus longtemps étant donné que c’est pas la première fois que vous faites des erreurs de traduction aussi monumentales…
    Je vais enfin utiliser la fonctionnalité de blocage d’un site dans news Republic

  • NoComment

    Donc en gros il faut acheter les derniers smartphones quoi !

  • Marc Le-corguillé

    Ce qu’il manque à android c’est la possibilité de désactiver certains demande des applications car certaines demande plus d’autorisation que d’utilité de l’apps, certes il suffit de rooter mais c’est pas à la portée de tous à ce jour…

    • Caxxo

      Si tu est root installe xposed et xprivacy.

  • iCe

    Ça me rappel l’article ou il était dit qu’Android était plus sur que iOS. Ça ce vérifie encore une fois.

  • Arthur Jolivet

    Grâce à Google Play Services 5.0, les personnes sous 4.4.3 et moins vont pouvoir bénéficier du correctif : vous ne vous rappeler pas d’une des fonctions annoncées permettant les MAJ de sécurité hors MAJ systèmes ?

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Marché des smartphones : Samsung n°1 des ventes début 2017, loin devant Apple

Le marché de la téléphonie mobile ne connaît pas la crise selon une récente étude réalisée par Gartner. Au contraire, le début de l’année 2017 a été très profitable pour Samsung (n°1 des ventes), pour Google et son système Android (86,1% du marché des OS) et pour les fabricants chinois. Apple en revanche est un peu à la traîne !

cb6c799c295fcb859ab08fea692e5a92################################