En guise de cadeau de Noël, les utilisateurs de smartphones Samsung vont recevoir un gros casse-tête de sécurité. L'Android Security Team de Google a posté une alerte concernant des certificats de plateformes légitimes, utilisés pour signer des malwares. Sur Android, une application va vérifier la clé chiffrée d'une mise à jour avant de l'appliquer, afin de s'assurer que c'est bien l'éditeur de l'app qui est à l'origine de la mise à jour.
Il est aussi possible de mettre à jour des applications pré-installées (c'est souvent le cas pour Facebook, qui paie pour être présent par défaut sur les smartphones Android) avec le même système de sécurité. Mais contrairement aux apps téléchargées depuis le Play Store, celles qui sont pré-installées bénéficient d'un accès plus large aux couches basses du système.
Les constructeurs de smartphones Android installent souvent leurs propres applications dans leurs appareils, des apps qui embarquent des clés de plateformes chiffrées. Et d'après Google, plusieurs de ces clés se baladent dans la nature, dont celles de Samsung, de LG et de Mediatek, entre autres fabricants. Cela signifie que des malandrins sont en mesure de diffuser des mises à jour vérolées pour ces applications pré-installées.
Rappelons-le, ces apps bénéficient de privilèges spécifiques, elles sont en mesure d'accéder aux données de l'utilisateur par exemple. Et grâce à ces certificats, Android n'y voit que du feu et peut installer ces mises à jour infectées sans barguigner. Il ne s'agit pas tout à fait d'un accès root, mais les permissions dont jouissent ces applications leur permettent de contourner la sandbox du système.
Samsung, premier constructeur mondial de smartphones, n'est pas au bout de ses peines. Non seulement ce certificat chiffré sert à toutes les apps ou presque du constructeur (Samsung Pay, Bixby, l'app Téléphone…), mais encore la clé traîne sur les internets interlopes depuis… 2016 ! Samsung a réagi sur le site XDA, en expliquant avoir publié des correctifs depuis 2016 et qu'il n'y avait eu aucun « incident de sécurité lié à cette vulnérabilité potentielle ».
Du côté de Google, on se veut rassurant en annonçant que des mesures ont été prises par les constructeurs. Le moteur de recherche ajoute que Google Play Protect détecte les malwares : ce système installé sur tous les smartphones Android peut désinstaller à distance les apps infectées sans intervention de l'utilisateur.
Cela n'exonère pas les constructeurs de faire le nécessaire pour s'assurer que leurs clés sont sécurisées. Samsung n'a ainsi pas pris la peine de changer de certificat, malgré le fait qu'il se balade dans la nature depuis six ans.
Source : ArsTechnica. Vignette : Daniel Romero, Unsplash
