Faille de sécurité repérée dans G1 Google Phone

Les chercheurs d'Independent Security Evaluators disent qu'ils ont découvert une faille de sécurité dans le navigateur Android qui pourrait rendre les utilisateurs de téléphones avec le navigateur vulnérables aux attaques.

Android, le logiciel open-source de Google qui est actuellement seulement fonctionnant sur un seul téléphone, le G1 de HTC est basé sur des composants open-source obsolètes, disent les chercheurs. En conséquence, la vulnérabilité qu'ils ont découverte était déjà connue et corrigée, mais Google n'a pas intégré le correctif dans Android, disent-ils.

Le G1 a été mis en vente mercredi dernier par T-Mobile USA, et Google a publié la source code derrière Android mardi. D'autres fabricants, dont Motorola, devraient également sortir des téléphones sous Android.

Sur une page Web pour ISE, Charlie Miller, Mark Daniel et Jake Honoroff ont écrit qu'ils ne révéleront pas grand-chose de la vulnérabilité tant que Google n'aura pas corrigé il. Cependant, ils disent que les utilisateurs d'Android qui visitent des sites Web malveillants peuvent trouver leurs informations sensibles volées. En effet, un attaquant peut accéder aux informations qu'il utilise, y compris les mots de passe enregistrés, les informations saisies dans un formulaire d'application Web et les cookies.

Les chercheurs affirment toutefois que l'impact de l'attaque est limité. Un attaquant ne peut, par exemple, contrôler les fonctions du téléphone tel que le numéroteur.

Google a déclaré qu'il était en train de développer une solution au problème. "Nous travaillons avec T-Mobile pour inclure un correctif pour l'exploit du navigateur, qui sera bientôt diffusé par voie hertzienne à tous les appareils, et nous avons abordé ce problème dans la plate-forme open source Android.La sécurité et la confidentialité de nos utilisateurs est de importance primordiale pour le projet Android Open Source - nous ne croyons pas que cette question aura un impact négatif sur eux ", a déclaré la compagnie dans un communiqué.

Les chercheurs disent qu'ils ont informé Google du problème le 20 octobre.

L'incident soulève des questions sur les difficultés potentielles auxquelles la communauté Android pourrait faire face à l'avenir. Parce que Google a adopté un modèle ouvert avec Android, de nombreux fournisseurs et opérateurs à l'avenir peuvent offrir une variété de téléphones, chacun potentiellement avec des versions légèrement différentes du système d'exploitation. Si des vulnérabilités sont détectées dans le futur, les fabricants de téléphones et les opérateurs devront déterminer si leur version du logiciel est affectée et ensuite coordonner la distribution d'un correctif aux utilisateurs.