Alors que Google a déjà sorti un correctif pour la faille des signatures d’application qui touche 99% des appareils sous Android, une nouvelle faille du même genre vient d’être publiée.
Si le dicton un train peut en cacher un autre est vrai, il en va de même avec les failles de sécurité. C’est ainsi que Google vient à peine de colmater une faille concernant les signatures d’application qu’une autre faille identique voit le jour. À la différence de la faille initiale, cette nouvelle faille est dans Java, mais permet aussi de contourner le système des signatures d’applications.
Si Bluebox était à l’origine de la révélation de la première faille, c’est par Android Security Squad, une équipe de chercheurs en sécurité chinois, qui vient d’expliquer cette nouvelle faille, une faille différente pour des effets identiques.
Le problème se situe au niveau de Dalvik, l’interprétateur Java d’Android. Ce serait le système de compression des apk qui serait en cause… Le vérificateur cryptographique d’Android valide la première version de tout fichier en exemplaires multiples dans une archive apk, alors que l’installeur extrait et déploie la dernière version. Concrètement, un apk qui contient deux fichiers avec le même nom, ce qui est possible, si le premier fichier est « propre » et le second « corrompu », Android ne voit rien !
Google n’a pour le moment pas réagi. Mais si le géant de l’internet a réagi rapidement pour la faille révélée par Bluebox, il en fera certainement de même pour la faille dévoilée par Android Security Squad.