Les version d'Android antérieure à la version 2.3.4, disponible depuis quelques jours, sont tous largement vulnérables à des attaques assez triviales, révèle une étude de l'université de Ulm, en Allemagne. Ce sont, en fait, les mécanismes d'authentification des services google qui sont exposés. Ceux-ci sont au cœur des systèmes Android. Lorsqu'un logiciel a besoin de s'authentifier, il utilise le protocole ClientLogin, lequel envoie une requête, chiffrée (https), stockée dans un authentication token (authToken). Celui-ci reste valide pendant 14 jours sans autre demande d'autorisation.
Dès lors, dès qu'un utilisateur se sert de services web depuis, par exemple, un WIFI public ou non sécurisé, il s'avère relativement trivial de sniffer ce authToken et d'obtenir accès à tous les services liés : calendrier, contacts, albums. Conseil des chercheurs pour les utilisateurs : mettez à jour en Android 2.3.4, lequel a corrigé cette faille, ou évitez les réseaux WIFI ouverts comme la peste.
