Une faille sous Android est activement exploitée pour siphonner des comptes en banque
Une faille qualifiée de 0-Day touche des appareils sous Android, même à jour. La faille permet à des logiciels malveillants de se faire passer pour leurs pendants légitimes déjà installés. Une fois sur place ces logiciels obtiennent l'accès à des informations sensibles comme l'enregistrement audio, vidéo, la lecture de messages reçus...
36 applications exploitent cette vulnérabilité et les pirates semblent particulièrement intéressés par le fait d'usurper l'identité des utilisateurs pour siphonner leurs comptes en banque.
Pour rappel, les smartphones sont de plus en plus souvent utilisés comme clés d'authentification bancaire, que ce soit par des messages échangés ou des clés électroniques installées dessus. Prendre le contrôle des appareils et voir ce qui s'y passe permet de fait d'outrepasser toutes les sécurités mises en place.
Dans le détail, la vulnérabilité d'Android se cache dans un process appelé TaskAffinity. Elle permet, si l'on a les bonnes autorisations, d'interagir avec d'autres applications. La faille permet d'en obtenir de très hautes sans efforts.