Cette fois, Google est défié par la révélation d’une faille importante dans la manière dont les terminaux Android gère l’accès authentifié aux services dépendant de comptes Google (Picasa, Google docs, Gmail, etc).
Les chercheurs de l’université d’Ulm ont démontré que le processus ClientLogin, qui gère l’accès à ces services via jetons d’authentification valables pour 14 jours, et stockés dans un fichier non crypté, n’est pas suffisamment fiable puisqu’il permet aux éventuels pirates de récupérer les données de connexion des usagers, en passant notamment par un réseau non sécurisé (accès Wi-Fi par exemple).
La faille concerne les versions d’Android antérieures à la version 2.3.4. Pour cette dernière, la connexion passe systématiquement par un processus chiffré. Il n’empêche : en attendant que Google rectifie le tir, les chercheurs allemands recommandent aux utilisateurs de désactiver la fonction de synchronisation automatique sur les équipements qui se connectent via réseaux Wi-Fi non sécurisés.