Android : un risque important de vol de données

Une faille importante vient d'être dévoilée, Google travaille déjà à sa correction.

Alors que les fabricants de smartphones et les concepteurs de système d'exploitation sont actuellement sous les feux de la rampe suite à l'affaire de données de géolocalisation conservées dans un fichier à l'intérieur du téléphone et même directement sur l'ordinateur pour les iPhone, deschercheurs allemands de l'université d'Ulm viennent de lever le voile sur une importante faille du système d'exploitation Android développé par Google.

Elle concernerait le protocole d'identification "ClientLogin" utilisé par les services Google comme Gmail, Contacts, Calendar ou bien encore Picasa, autant dire la base des téléphones sous Android. Plus précisément, la brèche viendrait directement du système d'authentification "AuthToken" qui autorise l'accès aux services Google pendant une durée de 14 jours. Ce bout de code est envoyé vers les serveurs sans aucun cryptage et peut potentiellement être intercepté et réutilisé.

S’il est peut probable que les pirates arrivent à récupérer ce fichier lors d'une connexion via le réseau cellulaire ou encore sur un réseau Wi-Fi protégé, il en est tout autre lors de la connexion à un point d'accès non sécurisé où les pirates peuvent attendre tranquillement l'arrivée de ce bout de code.

Tous les téléphones utilisant Android 2.3.3 ainsi que les versions inférieures sont concernés. Google a commencé à travailler sur ce problème et la version 2.3.4 corrige ce problème pour les contacts et le calendrier, mais Picasa est toujours concerné par la faille. Le géant a promis de boucher cette faille dans une prochaine mise à jour.