Grosse faille de sécurité sur Android : des malwares peuvent utiliser la clé chiffrée de Samsung

Mickaël Bazoge |

En guise de cadeau de Noël, les utilisateurs de smartphones Samsung vont recevoir un gros casse-tête de sécurité. L'Android Security Team de Google a posté une alerte concernant des certificats de plateformes légitimes, utilisés pour signer des malwares. Sur Android, une application va vérifier la clé chiffrée d'une mise à jour avant de l'appliquer, afin de s'assurer que c'est bien l'éditeur de l'app qui est à l'origine de la mise à jour.

Il est aussi possible de mettre à jour des applications pré-installées (c'est souvent le cas pour Facebook, qui paie pour être présent par défaut sur les smartphones Android) avec le même système de sécurité. Mais contrairement aux apps téléchargées depuis le Play Store, celles qui sont pré-installées bénéficient d'un accès plus large aux couches basses du système.

Les constructeurs de smartphones Android installent souvent leurs propres applications dans leurs appareils, des apps qui embarquent des clés de plateformes chiffrées. Et d'après Google, plusieurs de ces clés se baladent dans la nature, dont celles de Samsung, de LG et de Mediatek, entre autres fabricants. Cela signifie que des malandrins sont en mesure de diffuser des mises à jour vérolées pour ces applications pré-installées.

Rappelons-le, ces apps bénéficient de privilèges spécifiques, elles sont en mesure d'accéder aux données de l'utilisateur par exemple. Et grâce à ces certificats, Android n'y voit que du feu et peut installer ces mises à jour infectées sans barguigner. Il ne s'agit pas tout à fait d'un accès root, mais les permissions dont jouissent ces applications leur permettent de contourner la sandbox du système.

Samsung, premier constructeur mondial de smartphones, n'est pas au bout de ses peines. Non seulement ce certificat chiffré sert à toutes les apps ou presque du constructeur (Samsung Pay, Bixby, l'app Téléphone…), mais encore la clé traîne sur les internets interlopes depuis… 2016 ! Samsung a réagi sur le site XDA, en expliquant avoir publié des correctifs depuis 2016 et qu'il n'y avait eu aucun « incident de sécurité lié à cette vulnérabilité potentielle ».

Du côté de Google, on se veut rassurant en annonçant que des mesures ont été prises par les constructeurs. Le moteur de recherche ajoute que Google Play Protect détecte les malwares : ce système installé sur tous les smartphones Android peut désinstaller à distance les apps infectées sans intervention de l'utilisateur.

Cela n'exonère pas les constructeurs de faire le nécessaire pour s'assurer que leurs clés sont sécurisées. Samsung n'a ainsi pas pris la peine de changer de certificat, malgré le fait qu'il se balade dans la nature depuis six ans.


Source
ArsTechnica. Vignette : Daniel Romero, Unsplash
Tags
avatar Change | 

😱
Androïde non mais oh quoi ?? 😱

avatar Biking Dutch Man | 

Pas de précipitation avec les commentaires, cela peut techniquement arriver sur iOS aussi, même si on aime à penser qu’ils sont très sérieux et que ça n’arrivera pas!

avatar Paquito06 | 

@Biking Dutch Man

Est ce que sur iOS les apps pré-installées (seulement d’apple, du coup) bénéficient d'un accès plus large aux couches basses du système? (Comme c’est le cas ici pour android et pose probleme).

avatar lmouillart | 

Oui même combat, si vous prenez un firmware complet ou une maj signé avec des clés compromises d'Apple, les produits n'y verront que du feu.

avatar koko256 | 

@lmouillart

Apple (et Google) gardent peut-être mieux leurs clefs que Samsung...

avatar r e m y | 

Des malwares diffusés sur iPhone en usurpant des certificats d'app légitimes, ça s'est déjà vu.

avatar koko256 | 

@r e m y

C'était des certificats de tiers dans le cadre du programme pour les entreprises qui installent des apps maison sur "leurs" iPhone mais qui a été détourné pour permettre des apps hors app store. Mais ce ne sont pas des clés possédées par Apple.

avatar airmac | 

@Paquito06

Bien sur

avatar cecile_aelita | 

@Biking Dutch Man

Commentaire très pertinent et sage en effet. Même si je pense quand même que les futurs commentaires vont être épiques de mauvaise foi 😅🍿👀

avatar Chris K | 

@Biking Dutch Man

Ca peut, ça arrivera... on n’en sait rien. Le fait est que là ça ne concerne pas Apple.

avatar Sometime | 

Le gros problème semble venir des propriétaires initiaux de ces certificats!

avatar TiTwo102 | 

Plus qu’Android, c’est plutôt Samsung et cie le problème ici, non ?

avatar debione | 

@TiTwo102:

Complètement, mais vu des utilisateurs Apple, il y a Apple et Android... Les constructeurs n'existent pas (sauf dans les comparatifs de vente, la par magie ils apparaissent... ;))

avatar r e m y | 

Il me semble effectivement que le titre de l'article est erroné.
Tel que le problème est décrit, Android est hors de cause. Le problème est chez Samsung et ça ne semble pas une faille de sécurité, mais plutôt une usurpation de certificats de sécurité.

avatar Chris K | 

« celles qui sont pré-installées bénéficient d'un accès plus large aux couches basses du système »

C’est peut-être ça qui faudra qu’ils changent. Qu’est-ce qui justifie cette feature entre une appli Facebook pré-installée et la même téléchargée depuis le store ?

avatar pelipa91 | 

@Chris K

Un téléphone Androïd coûte moins cher que son conçurent iPhone car Facebook, Google et consorts payent pour avoir leur app pré-installés.
Je pense que ça doit jouer.

avatar Chris K | 

@pelipa91

J’ai bien saisi l’aspect commercial, c’est l’aspect technique qui m’échappe.

avatar pelipa91 | 

@Chris K

Ah en effet, dsl 😅
Techniquement je ne sais pas..

avatar debione | 

Comme toujours, tant que cela ne péjore pas les ventes...

Ce qui est étonnant, c'est pas qu'une entreprise mettent des années voir ne bouche jamais une faille, c'est le peu de fois que cela a été utilisé...
Samsung, c'est pas 1k d'appareil vendu depuis 6 ans, comment cela se fait-il que cette faille décrite ici comme une possible fin de monde pour les vacances de Noel, n'aie pas été plus exploitée? Difficulté de mise en place? Parce qu'il serait étonnant que des groupes de hackers ne l'aie jamais exploité à large échelle (puisque cela semble toucher toute la gamme Samsung), vu le nombre potentiel de cible...

avatar koko256 | 

Paumer ses clé privées de signature... c'est lamentable.

avatar debione | 

@koko256:

Bof, il y en a bien qui arrivent à paumer leurs gosses... :=)

avatar koko256 | 

@debione

Un gosse cela bouge de manière autonome. Pas une clé privée 😉

avatar Yves SG | 

Pffff n’importe quoi.
Android open source. Donc par nature ce qu’il y a de plus sécurisé.
Vous feriez mieux de lire les commentaires des plus grands spécialistes mondiaux qui, eux, savent de quoi ils parlent avant d’écrire ce genre d’article…

avatar MooMarama | 

l'AOSP est open source, mais pas ce que livre Samsung.
Le fait que les applications pré-installées peuvent outre-passer la sandbox n'est pas super non plus, surtout lorsqu'il s'agit de Facebook.

avatar debione | 

@Yves SG:

Android n'est absolument pas en cause ici...
Commencer par lire l'article et le comprendre serait déjà un premier pas (et pas s'arrêter au titre mensonger, il y a assez à dire sur Android sans tomber dans le mensonge crasse)

avatar marc_os | 

C'est ballot ça.

avatar cecemf | 

C’est dans des scenario comme ça que tu vois la force d’Apple. Le fait que Samsung l’ignore dit beaucoup sur la compagnie.

CONNEXION UTILISATEUR