Microsoft découvre une faille de sécurité Android menaçant 4 milliards de téléchargements

Microsoft a sonné l’alarme pour avertir les utilisateurs et développeurs Android d’une vulnérabilité trouvée dans plusieurs applications Android sur le Google Play Store. La faille de sécurité affecte potentiellement plus de 4 milliards de téléchargements dans le monde, comme annoncé dans un rapport récent.

Parmi les applications touchées, Microsoft a révélé deux des plus populaires : WPS Office, avec plus de 500 millions d’installations, et File Manager, le gestionnaire de fichiers de Xiaomi Inc., avec plus de 1 milliard d’installations. Les deux sociétés ont été informées en février de cette année et ont depuis déployé des correctifs.

Le rapport reconnaît que de nombreuses autres applications représentant plus de 500 millions d’installations pourraient être affectées, mais aucune n’est spécifiquement nommée.

Cette faille de sécurité appelée attaque « Dirty Stream » a été identifiée dans un composant fournisseur de contenu qui permet aux applications de partager des informations. La vulnérabilité dans le composant expose les applications à des risques, car des acteurs malveillants peuvent prendre le contrôle de l’application et accéder aux jetons des utilisateurs. Comme l’ont expliqué les experts de Microsoft dans l’annonce du 1er mai, les conséquences peuvent varier et dépendent de la manière dont les applications mettent en œuvre le composant en question.

Google, en collaboration avec Microsoft, a révélé cette vulnérabilité et partagé un rapport sur les risques de sécurité sur la plateforme Android Studio pour les développeurs, regroupant des informations et des conseils sur la manière d’éviter les vulnérabilités futures et de corriger celles actuelles.

L’annonce de Microsoft est un avertissement pour les milliards de personnes potentiellement concernées. Mais c’est aussi une invitation pour les autres grandes entreprises technologiques et développeurs d’applications, les encourageant à travailler ensemble pour offrir une meilleure sécurité pour leurs applications. Microsoft a indiqué qu’elle ne fournit pas seulement des conseils aux utilisateurs et développeurs d’applications, mais qu’elle a également pour objectif « d’illustrer l’importance de la collaboration, pour améliorer la sécurité pour tous. »

Le rapport de Microsoft fournit également des conseils aux utilisateurs Android. La principale suggestion ? Vérifier qu’ils possèdent les toutes dernières versions des applications installées sur leurs appareils.

Microsoft partage également des exemples pratiques du problème, en utilisant une étude de cas impliquant le gestionnaire de fichiers de Xiaomi Inc. comme référence. Il explique comment une application malveillante pourrait se comporter comme malware dans des scénarios graves : « En plus d’avoir un accès complet au stockage externe de l’appareil, l’application demande de nombreuses autorisations, y compris la possibilité d’installer d’autres applications. »

Cela dit, comme le confirme également Forbes, les utilisateurs ne peuvent rien faire d’autre que de rester informés, de garder leurs applications à jour et de suivre les recommandations de Microsoft : « les utilisateurs ne devraient installer des applications que de sources fiables, pour éviter les applications potentiellement malveillantes. »