Baptisée « Fake ID », une nouvelle faille Android toucherait cette fois les versions 2.1 à 4.4, soit 82,1% de tous les appareils actuellement en circulation.
C‘est la firme Bluebox Labs qui lèvre le lièvre et qui estime que cette dernière est relativement grave, puisqu’elle compromet la sécurité des applications, mais aussi leur capacité à se mettre à jour via des sources fiables.La faille se situerait au niveau des certificats (Apple connait bien le sujet, ayant été elle-même victime), dont la vérification ne seraient pas suffisante. Le problème toucherait les certificats imbriqués (l’un est le père de l’autre et la hiérarchie garantie théoriquement l’authenticité de ses pairs). En pratique, cela pourrait permettre d’installer des application malicieuses et (apparemment) de jouer avec les privilèges et donc, d’exécuter du code tiers.
Si Google a corrigé le problème dans les versions les plus récentes de son OS, nombreux sont les utilisateurs à être potentiellement vulnérables. La firme de MountainView a pourtant développé un patch pour ses partenaires, mais se retrouve dans l’incapacité de le diffuser directement. « L’ouverture » -tant mise en avant par Google et ses fans- trouve donc parfois ses limites.