Des chercheurs en sécurité viennent de découvrir une faille critique qui permettrait à des pirates d'installer subrepticement des applications malicieuses avec des droits avancés sur les téléphones sous Android.

Une application servant de proof-of-concept (PoC ou « preuve de faisabilité ») a été censurée et retirée de l'Android Market six heures après sa validation.

Co-développé par Jon Oberheide et Zach Lanier, ce PoC était présenté comme la suite du jeu (très) populaire « Angry Birds ». L'application malicieuse téléchargeait et installait trois autres applications en contournant le système d'autorisation d'Android. Ces trois applications avaient, elles, toutes accès librement aux listes des contacts, le GPS, l'envoi des SMS...

Elles pouvaient ensuite communiquer les informations collectées à des serveurs distants.

On n'en sait pas beaucoup plus sur ce PoC, mis à part qu'il repose sur des faiblesses du système de "jetons" que l'OS mobile de Google utilise pour éviter à l'utilisateur de communiquer son mot de passe aux applications tierces.

Les deux chercheurs donneront plus de détails aujourd'hui durant la conférence de sécurité organisée par Intel à Hillsboro (Oregon)

En attendant, avis aux accrocs d'Angry Birds : son créateur vient d'ajouter 45 niveaux à son jeu... et ce n'est pas un PoC.