Android : un bug permet de pirater un smartphone grâce au NFC

Android est victime d'un grave bug, révèle Google. En exploitant une faille de sécurité présente dans Android Beam, un attaquant peut facilement pirater votre smartphone via la technologie NFC. Google vous invite donc à installer d'urgence le patch de sécurité Android d'octobre 2019 pour vous protéger. 

Pour rappel, le NFC sur Android permet de connecter deux terminaux entre eux. Contrairement au bluetooth, pas besoin d’appareillage ou de validation, il suffit que les deux appareils  soient à moins de 10 mètres l'un de l'autre pour échanger des fichiers. La technologie NFC fonctionne grâce à un logiciel système intitulé Android Beam. C'est ce service qui permet à votre smartphone d'envoyer des données à un autre appareil à proximité via les ondes NFC. Il est aussi possible de partager des applications sous forme de fichiers APK. Une notification demande alors aux utilisateurs s'ils souhaitent vraiment installer une application à partir d'une source inconnue.

Lire également : Malware Android – cette application vole des millions d’euros aux utilisateurs du Play Store

Android : une faille du NFC permet de propager des malwares

En janvier 2019, Y. Shafranovich, chercheur en cybersécurité chez Nightwatch Cybersecurity, a découvert que le NFC pouvait être utilisé par des pirates pour installer des malwares sur n'importe quel smartphone Android. Suite à un bug, les fichiers APK transmis par NFC sur un smartphone tournant sous Android Oreo ou une version ultérieure sont automatiquement considérés comme fiables et sécurisés. Android Beam n'affiche alors aucun avertissement. Il suffit donc d'un simple clic pour installer un fichier provenant d'un expéditeur inconnu.

Selon Google, ce bug pousse Android à considérer Android Beam comme une source aussi fiable que le Play Store. En théorie, un pirate situé à proximité peut donc envoyer sur votre téléphone n'importe quel malware. En l'absence d'un avertissement clair, de nombreux utilisateurs risquent d'approuver sans y réfléchir le téléchargement d'une application malveillante. Pour un pirate, cette faille permet de contourner facilement les sécurités mises en place sur Android.

Android : Google déploie un correctif pour protéger les utilisateurs

Pour vous protéger, Google vous invite à télécharger et installer la mise à jour de sécurité Android du mois d'octobre 2019. La firme de Mountain View a en effet inclus un correctif au bug d'Android Beam. Si le patch n'est pas encore disponible sur votre appareil, on vous conseille de désactiver le NFC si vous ne vous en servez pas, surtout lorsque vous êtes en public.

Pour mémoire, ce n'est pas la première fois que le NFC met les smartphones Android en danger. En 2018, les chercheurs de la société spécialisée en sécurité informatique Checkmarx ont découvert une faille permettant de voler les mots de passe de n’importe quel smartphone Android compatible NFC.

Source : Nightwatch Cybersecurity