Une vulnérabilité de sécurité dans Android aurait pu permettre à des applications malveillantes de siphonner des données sensibles d’autres applications sur le même appareil.

Le démarrage de la sécurité des applications, Oversecured, a trouvé la faille dans la bibliothèque Play Core largement utilisée de Google, qui permet aux développeurs d’intégrer des mises à jour et de nouveaux modules de fonctionnalités à leurs applications Android, comme des modules linguistiques ou des niveaux de jeu.

Une application malveillante sur le même appareil Android pourrait exploiter la vulnérabilité en injectant des modules malveillants dans d’autres applications qui s’appuient sur la bibliothèque pour voler des informations privées, telles que des mots de passe et des numéros de carte de crédit, à l’intérieur de l’application.

Sergey Toshin, fondateur d’Oversecured, a déclaré à TechCrunch que l’exploitation du bogue était «assez facile».

La startup a créé une application de validation de principe en utilisant quelques lignes de code et a testé la vulnérabilité sur Google Chrome pour Android, qui reposait sur une version vulnérable de la bibliothèque Play Core. Toshin a déclaré que l’application de preuve de concept était capable de voler l’historique de navigation, les mots de passe et les cookies de connexion d’une victime.

Mais Toshin a déclaré que le bogue affectait également certaines des applications les plus populaires de l’App Store Android.

Google a confirmé que le bogue, noté 8,8 sur 10 pour la gravité, est maintenant corrigé. « Nous apprécions le chercheur qui nous ait signalé ce problème et, par conséquent, il a été corrigé en mars », a déclaré un porte-parole de Google.

Toshin a déclaré que les développeurs d’applications devraient mettre à jour leurs applications avec la dernière bibliothèque Play Core pour supprimer la menace.