Une équipe composée de onze chercheurs en sécurité de l’université de Floride, de l’université Stony Brook et du Samsung Research America, a découvert que des millions de smartphones modernes tournant sous Android, l'OS mobile de Google, sont vulnérables aux attaques effectuées via des commandes AT en mode USB.On sait depuis longtemps déjà que les appareils Android sont vulnérables aux attaques effectuées via les commandes AT. Néanmoins, la recherche évoquée ici serait la plus complète à ce jour puisqu’elle est basée sur l’analyse de plus de 2000 firmwares Android provenant des téléphones de marques LG, ASUS, Google, Huawei, HTC, Lenovo, LineageOS, Motorola, Samsung, Sony et ZTE. Cette recherche suggère qu’aucun fabricant (grand ou petit) de smartphones Android n’est épargné par cette faille.
Il faut rappeler qu’à la base, les smartphones intègrent tous un composant de type modem et que le fonctionnement de ce dernier est encadré par des standards mis en œuvre par les organismes de télécommunication internationaux et les fabricants de modems. Les commandes AT (ou commandes Hayes) font partie de ces standards. Elles forment un ensemble de commandes, développé à l’origine pour le Smartmodem 300 de Hayes, qui a fini par être généralisé à tous les produits de type modem.
Les commandes AT permettent, par exemple, de : composer un numéro, connaitre l’état de la ligne, spécifier le type de transmission et le protocole de liaison à utiliser, manipuler les registres internes du modem, modifier les paramètres de connexion ou envoyer les caractères transmis simultanément vers l’écran.
Ce jeu de commandes peut être utilisé pour communiquer directement avec le modem, lorsque ce dernier est en mode Command. Chaque commande est envoyée sous la forme d’une ligne de texte encodée en ASCII, terminée par le caractère \r seul (code ASCII 13). Le modem retourne une réponse sous la forme d’une ou plusieurs lignes selon la commande envoyée, chaque ligne se terminant par les caractères \r suivis de \n (codes ASCII 13 et 10).
Dans leur rapport, les scientifiques indiquent avoir découvert que les appareils analysés prennent en charge plus de 3500 types de commandes AT et que certaines de ces commandes donnent accès à des fonctions très sensibles du téléphone. Il est, par exemple, possible de réécrire le firmware d’un smartphone, de contourner les mécanismes de sécurité Android ou d’extraire des données sensibles en utilisant les commandes AT.
Cependant, l’attaquant serait obligé de se servir de l’interface USB du périphérique cible afin de faire passer ses instructions, soit en accédant directement au périphérique ou en exploitant un composant malveillant dissimulé sur une station d’accueil ou de recharge USB. Par ailleurs, les chercheurs notent que laisser inactive la fonctionnalité « ;débogage USB ;» du dispositif peut aider à protéger contre ce type d’attaque.
Précisons tout de même que les scientifiques ont uniquement testé l’accès au jeu de commandes AT sur les appareils Android via l’interface USB. Ils auraient prévu de tester plus tard des appareils Apple en tenant compte des commandes AT qui seraient éventuellement disponibles via Wifi, Bluetooth ou tout autre vecteur d’accès à distance.
Un peu plus tôt ce mois, une autre étude a permis de mettre en évidence une vulnérabilité inhérente à la technologie Bluetooth Low Energy (BLE) qui expose de nombreux dispositifs compatibles tels que des smartphones, ordinateurs ou autres à des cyberattaques. Son exploitation nécessite, néanmoins, que les appareils attaqués soient connectés à des accessoires BLE et à portée du réseau Bluetooth de l’attaquant (moins de 20 m). L’exploit, baptisé Btlejack, permet de réaliser des attaques de type Man-In-the-Middle autorisant le pirate à se substituer à un objet connecté et, par la suite, à intercepter les données qui transitent entre les dispositifs appariés. Il a été présenté par des chercheurs Français de la société Digital Security, lors du DEF CON 2018 qui s’est tenu à Las Vegas.
Les deux vidéos ci-dessous fournissent une description simple des attaques en mode USB basées sur les commandes AT ainsi qu'une vidéo de démonstration illustrant une attaque via des commandes AT contre un smartphone LG qui expose de nombreuses fonctions internes du téléphone.
Le plus grand danger, comme le montrent les vidéos ci-dessus, est la capacité d’un attaquant à simuler des entrées sur l'écran tactile, permettant à un intrus de prendre le contrôle total d’un périphérique et d’installer des applications malveillantes.
Les chercheurs ont indiqué avoir informé les fabricants concernés par leur découverte et publié sur un site une base de données répertoriant les modèles de téléphones (de onze fabricants au total) et les versions de firmware exposé à cette vulnérabilité. Ils ont aussi mis en ligne le script utilisé lors de leurs travaux pour examiner les différents firmwares Android et mettre en évidence cette faille. Le script est disponible sur GitHub.
Les informations détaillées sur cette recherche sont disponibles dans un document intitulé « ;ATtention Spanned : Comprehensive Vulnerability Analysis of AT Commands Within the Android Ecosystem ;» et présentées dans un livre blanc lors du symposium Usenix sur la sécurité qui s’est tenu à Baltimore, aux États-Unis, à la mi-aout.
Source : ATtention Spanned (PDF), ATCommands, DEFCON 2018
Et vous ?
Qu’en pensez-vous ?Voir aussi
Des chercheurs découvrent un malware Android qui espionne plus de 40 autres applications, un smartphone Android sur quatre est vulnérable Tous les appareils Android depuis 2012 seraient menacés par RAMpage, une vulnérabilité qui permet d'accéder aux données d'autres applications Une campagne d'attaque sur Android combine l'hameçonnage d'identifiant à un Trojan bancaire, pour des attaques plus sophistiquées Android : les utilisateurs exposés à une panoplie d'attaques par le biais de deux permissions de l'OS, des démos sont disponibles 
