Sécurité : une faille permet aux applications de connaître votre géolocalisation

 
Dans un billet publié sur son blog mercredi dernier, le cabinet en sécurité informatique Nightwatch Cybersecurity a dévoilé une faille majeure d’Android. Celle-ci permet aux applications d’avoir accès à la géolocalisation du smartphone, sans forcément que l’utilisateur leur en ait donné l’accès.

C’est une faille qui a été corrigée sur la dernière mise à jour d’Android, la version 9.0 Pie, mais qui concerne l’ensemble des versions précédentes du système d’exploitation de Google. Mercredi dernier, Nightwatch Cybersecurity, cabinet de recherche en sécurité informatique, a annoncé avoir découvert une faille qui permet aux applications de ne pas avoir à demander la permission afin d’accéder à la géolocalisation d’un appareil Android.

Connue sous le petit nom de CVE-2018-9489, cette faille permet en fait aux applications de connaître l’adresse MAC, le nom du réseau, le BSSID ainsi que l’adresse IP locale ou l’adresse du DNS utilisés par le smartphone. Concrètement, une application malicieuse installée sur le smartphone pourrait ainsi avoir accès à toutes ces informations de réseau et ainsi à la localisation de l’appareil. La faille de sécurité concerne en fait l’accès à des flux de données transitant entre le système Android et les applications installées, sans avoir nécessairement besoin des permissions requises pour accéder à la géolocalisation du smartphone ou à d’autres données : « Une application qui lit les données émises n’a pas besoin des permissions, autorisant ainsi ces informations à être capturées même sans que l’utilisateur ne le sache ».

Pas de patch de sécurité pour les versions d’Android antérieures à Pie

Nightwatch Cybersecurity précise que Google a corrigé cette faille d’Android depuis la version 9.0 Pie du système d’exploitation. Cependant, le cabinet précise que « l’éditeur ne prévoit pas de patcher les versions précédentes d’Android ».

Les utilisateurs sont ainsi « encouragés à mettre à jour leur appareil vers Android P/9 », si tant est que leur smartphone soit compatible. Pour l’heure, seuls les appareils de Pixel et Pixel 2 de Google et l’Essential Phone ont été mis à jour vers Android Pie.

Pour aller plus loin
Mise à jour Android 9.0 Pie : la liste des smartphones compatibles et leur date de déploiement


Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !

Les derniers articles