Lors de la conférence HouSecCon qui s’est tenue à Houston, M.J. Keith, chercheur en sécurité informatique, a déclaré qu’il livrerait un code pouvant être utilisé pour mener, via Internet, des attaques contre certains téléphones tournant sous Android, en ciblant notamment le navigateur des versions 2.1 et antérieures du système d’exploitation de Google.
M.J. Keith, chercheur en sécurité informatique chez Alert Logic, affirme avoir écrit un code lui permettant de faire exécuter une simple ligne de commande shell par Android, lorsque la vitcime visite un site web contenant son code d’attaque, en utilisant une faille dans le moteur du navigateur WebKit. Jay Nancarrow, porte-parole de Google, a confirmé que la firme connaissait l’existence de cette vulnérabilité. « Nous savons que WebKit présente un problème qui pourrait affecter les anciennes versions du navigateur d’Android. Mais celui-ci ne concerne pas Android 2.2 ou les versions ultérieures » a t-il déclaré.
Selon Google, 36,2% des téléphones sous Android sont équipés de la version 2.2. Parce qu’Android compartimente les différentes composantes du système d’exploitation, l’attaque de M.J. Keith, qui passe par le navigateur, ouvre à tout ce que lit le navigateur, mais ne donne pas un accès complet à la racine d’un téléphone piraté. L’attaque ne pourrait donc probablement pas être utilisée pour lire ou envoyer des messages SMS ou effectuer des appels, mais pourrait permettre de voler des photos sur le téléphone ou de s’emparer de l’historique de navigation. « On peut prendre le contrôle total sur le contenu de la carte SD » a t-il déclaré dans une interview. « S’ils utilisent leur navigateur pour accéder à quoi que ce soit, il doit être possible d’avoir la main sur ces choses là » a t-il ajouté.