Une nouvelle faille critique qui vient d’être découverte par les équipes de Check Point. Après Stagefright, cette nouvelle faille d’Android s’appelle Certifi-Gate et permet aux pirates de dérober les informations personnelles des utilisateurs de dispositifs Android, de localiser les appareils, d’enregistrer des conversations en activant le microphone et bien plus encore.
Certifi-gate : la nouvelle faille d’Android
Les équipes de Check Point viennent de détecter une nouvelle faille d’Android : Certifi-gate. Cette faille, si elle est exploitée par des personnes malveillantes, peut avoir des conséquences considérables pour les utilisateurs de dispositifs Android. En effet, Check Point explique que “Des agresseurs peuvent exploiter Certifi-gate pour obtenir un accès sans restriction aux appareils, et dérober des données personnelles, localiser les appareils, activer le microphone pour enregistrer des conversations, et plus encore“. Cette faille serait présente sur les appareils des grands fabricants tels que Samsung, LG, ZTE et HTC.
Une faille très difficile à corriger
Certifi-gate est une faille extrêmement difficile à corriger puisque comme l’explique Check Point, “Android ne dispose d’aucun moyen de révoquer les certificats fournissant les autorisations privilégiées. Sans correctif ni aucune solution raisonnable, les appareils sont exposés dès leur première utilisation. Tous les fabricants touchés par Certifi-gate ont été informés par Check Point et ont commencé à publier des mises à jour. La vulnérabilité ne peut être corrigée et ne peut être mise à jour que lorsqu’une nouvelle version du système d’exploitation est envoyée aux appareils ; un processus notoirement lent. Android ne dispose également d’aucun moyen de révoquer les certificats utilisés pour signer les plugins vulnérables“.
Les fabricants des dispositifs fonctionnant sous Android devront donc eux-mêmes proposer des mises à jour à leurs utilisateurs afin de réparer cette faille, pas sûr que tous les terminaux même les plus anciens y aient droit… Si vous possédez un dispositif fonctionnant sous Android, l’outil Certifi-gate Scanner proposé au téléchargement sur Google Play vous permettra de savoir si votre dispositif est vulnérable à cette faille.
