Une vulnérabilité critique pour Android permettait d’embarquer un cheval de Troie au sein d’une application légitime signée sans en modifier la signature.

Une preuve de concept vient d’être publiée (à peine 32 lignes de script Bash) et montre a quel point l’attaque est aisée. Google aurait dores et déjà livré un correctif à ses partenaires OEM, et passerait actuellement au crible sa place de marché Google Play à la recherche d’applications ainsi modifiées.

Les détails de cette vulnérabilités seront révélés le mois prochain à l’occasion de la conférence Black Hat, aux Etats-Unis.

Entre temps, les utilisateurs d’Android peuvent installer une application gratuite proposé par la société à l’origine de cette découverte, afin de savoir si certaines de leurs applications ont été ainsi modifiées. Ce scanner est disponible sur la marketplace Google.

Bien entendu, les utilisateurs de places de marché applicatives alternatives sont les plus exposées au risque induit par cette vulnérabilité.