Une astucieuse faille de sécurité dans tous les terminaux Android

Florian Innocente |

Après Apple et sa Goto Fail dans iOS et OS X, c'est Android qui est concerné par une vaste faille de sécurité, potentiellement utilisable dans tous les terminaux en service à travers le monde. Depuis sa médiatisation, au début de la semaine, les chercheurs qui ont découvert ce problème et mis au point un utilitaire de recherche de malwares installés, ont vu leur outil testé dans 47 pays.

Cette faiblesse système a été découverte par une équipe de l'Université de l'Indiana et les labos de recherche de Microsoft [PDF]. L'objet de leur curiosité s'est porté sur le mécanisme de mise à jour système d'Android.

Six failles ont été découvertes dans le package management service. Elles peuvent faciliter la vie d'une app désireuse de collecter des données personnelles de l'utilisateur, de modifier les logiciels installés, voire de prendre leur place. Ces failles sont surnommées « Pileup Flaws/privilege escalation through updating ». Le principe consiste à distribuer une application de prime abord inoffensive mais capable de mettre en route ses propriétés infectieuses à la suite d'une mise à jour d'Android. Cela peut aller de la récupération d'informations, à l'injection de code malveillant jusqu'au remplacement pur et simple d'une app système par son clone dans lequel vous entrerez vos données en toute confiance.

Une application dispose à la base d'une série de droits d'accès qui encadre son activité et ce qu'elle est en droit de faire avec les fonctions offertes par le système. L'auteur du malware peut toutefois inclure des privilèges qui ne lui serviront que plus tard. La version installée d'Android, lorsqu'elle vérifiera l'application, glissera sans sourciller sur ces droits d'accès dormants qui lui sont, à ce stade, complètement inconnus. Mais lors d'une mise à jour système apportant les nouvelles fonctions attendues, l'application pourra enfin les mettre à profit sans se faire remarquer. Android ne trouvera rien à redire puisqu'il avait déjà validé cette app précédemment.

Sur les six failles révélées à Google en octobre dernier, une a été corrigée en janvier, les autres sont toujours à l'étude. Les chercheurs font remarquer que selon les constructeurs, le nombre de petites mises à jour système incrémentales proposées aux utilisateurs multiplie les opportunités pour les auteurs de tels malwares. À ce jeu, Samsung créée plus de déclinaisons système que Google lui-même, font-ils remarquer. Mais il leur est impossible de savoir si cette faille était connue et exploitée.

L'équipe s'inquiète toutefois de la vitesse à laquelle ces correctifs vont pouvoir être distribués par Google et les fabricants, cet écosystème n'étant pas connu pour se tenir à jour à marche forcée. Dans l'attente, un outil a été mis en ligne pour détecter la présence de tels malwares et des vidéos de démonstration de ces failles sont visibles.

[via Futura Sciences]

Tags
#sécurité #android
avatar oposs | 
@KrummenHacker : :D
avatar cadou | 
@KrummenHacker Tu as une représentation des relations hommes-femmes plus que discutable. De plus, toto peut très bien se faire entretenir par sa copine. Tu as acheté ton Iphone pour draguer les filles ?
avatar CF_melo | 
« Iphone » ? Où as-tu vu cette graphie dans la communication officielle d'Apple ? C'est incroyable le nombre de gens incapables (volontairement ?) de se souvenir que la première lettre est minuscule et la seconde majuscule. Pourtant, cela ne devrait pas mobiliser beaucoup de neurones. Lorsqu'on ne s'intéresse pas à un sujet, alors autant ne pas donner son avis.
avatar cadou | 
@quark67 Apple utilise les mêmes supports graphiques dans le monde entier, c'est donc les règles de la langue de Shakespeare qui dominent. Ici, nous utilisons le français pour échanger et en français, un nom propre prend une majuscule.
avatar CF_melo | 
Pourquoi tu dis Apple et pas Pomme, pour suivre ta logique trollesque ? Dans le domaine de la musique, tu écris Abba, ABBA, A.B.B.A., Rem, REM, R.E.M. ? Dans le domaine de l'informatique, tu écrirais Latex plutôt que LaTeX ? Epub plutôt que ePub ? Ebook plutôt que eBook ? Si oui, c'est que t'as vraiment rien compris. Par exemple, si tu écris « Un Ebook ... » ça veut dire quoi ? Que c'est une marque ? Le « e » de eBook signifie electronic, et le « b » de book est mis en majuscules afin de signifier qu'il s'agit du début d'un nouveau mot. Et ne me dis pas que tu écris toujours « livre électronique » ou « livre numérique », on ne te croira pas. Un dernier truc : les américains emploient le mot « café » (voir https://en.wiktionary.org/wiki/café ; quel honneur de leur part à la langue française :) ). Et bien ils sont assez respectueux de cette langue étrangère qu'est pour eux le Français, pour conserver l'accentuation du mot, alors que ce concept n'existe pas dans leur langue. Au nom de quoi devrions-nous faire les franchouillards et placer absolument une majuscule à la première lettre d'une marque, si la graphie d'origine est différente ?
avatar cadou | 
@quark67 J'ai même pas lu ta réponse... C'est quoi ce pavé sérieux ? Lache une caisse mon gars, ça ira mieux. Il y a une bande d'illétré sur tout les forums et tu viens me les briser pour un mot. Si j'ai un neurone grillé, toi tu dois en avoir plusieurs.
avatar eipem | 
@madasino T'aurais mieux fait de la lire sa réponse, ça t'aurait ouvert les yeux sur ton imbécilité... Mais je crois surtout que tu l'as bien lu, et que t'as rien trouvé de mieux à dire parce que tu sais que ta petite démonstration grotesque ne vaut pas un clou.
avatar lol51 | 
iphone un nom propre ? non pas du tout. Un nom commun tout au plus, voir une marque. Ce qui dans ce cas s'écrit tel quel, c'est à dire iPhone.
avatar max68lola22 | 
@KrummenHacker 8 .Toto acheté un iPhone Son compte iTunes sera piraté prochainement C'est le bordel
avatar GillesF | 
J'en ai pas bien compris. Je cite l'article : "Mais lors d'une mise à jour système apportant les nouvelles fonctions attendues, l'application pourra enfin les mettre à profit sans se faire remarquer." Quelles sont ces fonctions attendues ? Comment on peut les prévoir ?
avatar max68lola22 | 
Elles peuvent faciliter la vie d'une app désireuse de collecter des données personnelles de l'utilisateur C'est pas déjà le cas....avec Google ?
avatar napuconcture | 
Très joli comme faille (enfin bien moche). Deviner les futures api/autorisation c'est assez trivial : les uri sont de ce type "android.permission.CAMERA", "android.permission.CALL_PHONE", "android.permission.NFC", ...
avatar kalynoh | 
Ca serai le cas si android était iOS, et que tous les terminaux étaient mis à jour en même temps. Sauf que c'est pas le cas, du coup entre la disponibilité d'une nouvelle version, et la mise à jour des terminaux, il se passe en général plusieurs mois, ce qui laisse largement le temps. Mais bon, je suis d'accord avec toi, le risque est faible, ça part du principe que les terminaux sont mis à jour, donc ça limite beaucoup le risque.
avatar eipem | 
@v1nce29 Non. Une app du Playstore peut très bien être vérolée.
avatar Lou117 | 
Ce n'est pas une faille en tant que tel, c'est juste une approbation automatique d'éventuels nouveaux droits qui pourraient être apportés par un nouvel OS... La probabilité d'exécuter du code malveillant via une hypothétique nouvelle fonction est plus que minime, à moins de deviner quels sont les noms des nouvelles méthodes d'API ajoutées à l'avance... Et encore, les nouvelles autorisations ne concernent que rarement le coeur du système mais bien plus souvent l'ajout de nouveau support matériel (ajout du NFC par exemple) qui nécessite donc également du matériel supplémentaire ! Bref... Oui il y a quelque chose à modifier mais rien de dramatique.
avatar lol51 | 
Ha oui sous iOS on appel ça une faille énorme et sous android un process normal. Sauf que des gens qui ont vu leur androphone s'effacer totalement et s'éteindre on en a vu pas plus tard qu'il y a une semaine. Je ne sais plus quel gus du sport qui fait la réclame pour android et qui avait vu son téléphone s'effacer de lui même... Mais tout est normal le process était prévu... Bande de rigolo à ne même pas imaginer qu'on peut facilement détourner leur truc de validation. Des amateurs !
avatar Lou117 | 
@RBC : c'est grave quand la faille peut être exploitée massivement pour poser des soucis aux utilisateurs. Il y en a eu, et il doit en avoir d'autres, Android est loin d'être parfait. Là c'est une faille complexe à utiliser et qui ne peut arriver que si un nouveau droit est ajouté, que ce nouveau droit offre des possibilités étendues et que l'application a prévue de pouvoir intégrer ces droits à l'avance... Tu conviendra que c'est hautement hypothétique et pas franchement problématique en l'état. Ainsi par exemple on sait que la nouvelle version 4.4.3 va arriver sur les Nexus, seulement aucun nouveau droit devrait être ajouté donc malgré la mise à jour, aucun risques supplémentaires. A l'opposé, certaines failles d'iOS ont permit des choses tels qu'installer un jailbreak en visitant une simple page web ! Ou encore de faire croire à un site sécurisé alors que ce n'est absolument pas le cas (faille goto fail). Des failles exploitables et exploitées. Maintenant si une faille du genre était découverte sur Android, oui elle serait tout aussi grave. Tiens tu veux une vraie faille ? http://www.itespresso.fr/trend-micro-faille-android-peur-mal-74061.html ça oui c'est plus grave.
avatar Lou117 | 
@RBC : non, justement, je te prouve par a+b que je vois les choses en fonction de la dangerosité et non de l'os. Le lien que j'ai posté évoque une faille encore non exploitée mais qui peut potentiellement toucher des millions de smartphone. Celle décrite ici ne touchera potentiellement que très peu de smartphone vu le processus de mise à jour et d'ajout de droits sur Android. C'est tout.

CONNEXION UTILISATEUR