Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Deux chercheurs mettent au point une méthode qui dissimule des malwares derrière des images
Android serait affecté

Le , par Cedric Chevalier, Expert éminent sénior
Une nouvelle menace de sécurité plane au-dessus de la plateforme Android. Deux chercheurs de Fortinet, Axelle Apvrille et Ange Albertini, ont mis au point une nouvelle méthode pour dissimuler des malwares dans des images.

Tout a commencé avec les travaux d’Ange Albertini. Le chercheur a mis au point le script python Angecryption, qui après chiffrement (avec une méthode de chiffrement par bloc comme AES) d’un fichier source, lui donne l’apparence visuelle et l’aspect d’un document PDF, d'une image PNG ou JPG.

Précisons au passage que, pour que la méthode réussisse, des données additionnelles doivent être ajoutées à la fin du fichier source.

L’utilisation du script a été étendue à la plateforme mobile de Google et présentée publiquement au cours de la conférence Black Hat Europe. Les chercheurs ont chiffré une application Android qui avait l’aspect d’une image au format PNG. L’image en question est celle d’Anakin Skywalker de Star Wars.

Aux yeux de l’utilisateur, c’est juste une image. On est loin de se douter qu’il s’agit en fait d’une application. Exploité correctement, un hacker peut se servir d’Angecryption pour insérer des malwares dans les mobiles des victimes. D’après les deux experts, l’ingénierie inverse d’un tel malware est difficile.

Les chercheurs ont réussi à implémenter un exploit sur Android 4.4.2. L’équipe de sécurité de la plateforme mobile de Google a été alertée par les chercheurs. On ne peut qu’espérer que des correctifs verront rapidement le jour.

Source : SlideShare Black Hat

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Grimly Grimly - Membre actif http://www.developpez.com
le 21/10/2014 à 11:06
Citation Envoyé par Cedric Chevalier  Voir le message
Qu'en pensez-vous ?

Que lire un fichier ne devrait jamais entraîner le lancement de code arbitraire au même titre que ce forum ne me laissera pas exécuter du code javascript en ajoutant une simple balise <script>
Avatar de Grabeuh Grabeuh - Membre confirmé http://www.developpez.com
le 21/10/2014 à 11:14
Citation Envoyé par Grimly  Voir le message
Que lire un fichier ne devrait jamais entraîner le lancement de code arbitraire au même titre que ce forum ne me laissera pas exécuter du code javascript en ajoutant une simple balise <script>

Le soucis, c'est qu'en général, un malware n'exploite pas qu'une seule faille, mais la combinaison de plusieurs. Si le seul cryptage sous forme d'image n'est pas si dangereux que ça en soi, c'est l'exploitation d'une seconde faille qui elle permettra probablement l'exécution du code.

L'image, c'est seulement le moyen de faire rentrer le ver dans le fruit incognito.
Avatar de imikado imikado - Rédacteur http://www.developpez.com
le 21/10/2014 à 13:49
Citation Envoyé par Grimly  Voir le message
Que lire un fichier ne devrait jamais entraîner le lancement de code arbitraire au même titre que ce forum ne me laissera pas exécuter du code javascript en ajoutant une simple balise <script>

Il ne faut pas oublier, par exemple que dans un pdf, il peut y avoir du code executable, notamment pour les pdf formulaires

Pour les images, à la base, une application analyse du code pour le traduire en pixel à l'écran, et là, en exploitant une faille de l'algorythme de parsing, on peut (si faille) faire du débordement...
Avatar de gangsoleil gangsoleil - Modérateur http://www.developpez.com
le 21/10/2014 à 15:30
En tout cas, je trouve la méthode jolie. Après, pour ce qui est de l'exécution, nous sommes d'accord qu'il faudrait exploiter plusieurs failles, mais c'est souvent ce qui est fait, généralement sans que l'utilisateur s'en rende compte.
Avatar de ALT ALT - Membre expérimenté http://www.developpez.com
le 23/10/2014 à 10:37
Euuuh !
Insérer du code ou du texte dans une image, ce n'est pas ce qu'on appelle la stéganographie ?
Technique connue depuis longtemps... Bref, rien de nouveau.
Avatar de gangsoleil gangsoleil - Modérateur http://www.developpez.com
le 23/10/2014 à 11:02
La stéganographie consiste effectivement à "cacher" un message dans une image, mais il ne s'agit pas forcément de cacher un programme exécutable dans une image.
Avatar de jumpers jumpers - Membre du Club http://www.developpez.com
le 23/10/2014 à 11:12
ALT a été plus rapide que moi, ce n'est pas nouveau le fait de planquer des fichiers dans des images, il y a déjà 4/5 je le faisait pour des tests. le coté malware est lui, peut-être nouveau, et encore...
Avatar de gangsoleil gangsoleil - Modérateur http://www.developpez.com
le 23/10/2014 à 13:48
Au risque d'être cassant, lisez la news : le programme en question prend un exe, et le "transforme" pour qu'il soit reconnu comme une image. C'est donc le principe inverse de la stéganographie, qui consiste à prendre une image et à mettre quelque chose dedans sans trop altérer celle-ci.

Et si vous avez réussi ça il y a 4 ou 5 ans, grand bien vous fasse, mais dépéchez-vous d'écrire à la conf afin que l'antériorité vous revienne.
Avatar de ALT ALT - Membre expérimenté http://www.developpez.com
le 23/10/2014 à 14:08
Ah ben tout faux, alors : je ne l'avais pas bien compris.
Ouillle !
Avatar de miky55 miky55 - Membre averti http://www.developpez.com
le 23/10/2014 à 14:31
Citation Envoyé par gangsoleil  Voir le message
La stéganographie consiste effectivement à "cacher" un message dans une image, mais il ne s'agit pas forcément de cacher un programme exécutable dans une image.

Il s'agit ni plus ni moins que de la stéganographie. Il n'exploitent aucune faille comme le prétend cette news, en regardant les slides on comprend bien qu'ils rajoutent du code malicieux dans une image de manière à ce que celle-ci soit toujours une image valide et puisse être affiché si on l'ouvre en tant qu'image. Mais ça s’arrête là il n'y a aucun code qui est exécuté si on l'ouvre avec un lecteur d'image classique, il faut absolument passer par leur apk vérolée qui va récupérer le code malicieux de l'image pour l’exécuter.

Bref ces chercheurs prétendent avoir trouvé une technique quasi indétectable pour placer du code malicieux dans une image, mais le code qui va récupérer le Malware dans l'image, lui est parfaitement détectable...
Offres d'emploi IT
Développeur c# asp.net h/f
NEXTGEN RH - Aquitaine - Bordeaux (33000)
Business Manager Energie (H/F)
Alten - Ile de France - Boulogne
Technicien en Fibre Optique FRANCE
Links IT SERVICES - Ile de France - FRANCE

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil