Les permissions en question sont SYSTEM_ALERT_WINDOW et BIND_ACCESSIBILITY SERVICE. Pour rappel, la permission SYSTEM_ALERT_WINDOW permet à une application d’afficher une fenêtre pop-up par-dessus toutes les autres fenêtres. BIND_ACCESSIBILITY_SERVICE par contre est une permission qui permet à une application de rendre les dispositifs Android plus accessibles par des personnes avec des handicaps. Des personnes mal voyantes peuvent passer des commandes vocales au système grâce à l’activation de cette permission.
Les explications des chercheurs viennent nous rappeler l’importance de faire preuve de vigilance lors de l’installation d’une application. Généralement, le processus d’installation intègre une étape où certaines permissions sont accordées à l’application en cours d’installation. D’après les explications des chercheurs, l’utilisateur ne reçoit pas de notification quant à l’accord ou non des permissions SYSTEM_ALERT_WINDOW et BIND_ACCESSIBILITY_SERVICE lors d’une installation via le Play Store.
Ceci se produit pour une application dont le fichier manifest contient la déclaration des permissions SYSTEM_ALERT_WINDOW et BIND_ACCESSIBILITY_SERVICE. Les chercheurs soulignent que l’utilisation combinée de ces deux permissions peut permettre de mettre sur pied des attaques extrêmement furtives en comparaison à celles qui ont été recensées jusqu’ici et qui n’utilisaient que l’une de ces permissions à la fois. Leur publication de recherche passe en revue une dizaine d’attaques testées pratiquement sur une vingtaine d’utilisateurs Android.
Pratiquement tout y passe : l’enregistrement furtif de saisies clavier qui exploite la permission SYSTEM_ALERT_WINDOW (première démo ci-dessous), l’usage combiné des deux permissions pour installer une application bénéficiant de toutes les permissions (deuxième démo), le vol de mot de passe qui combine également les deux permissions (troisième démo), etc. Les chercheurs indiquent que Google a déjà reçu notification de ces constats. Comme ils le précisent, il s’agit de problèmes liés à la conception du système d’exploitation lui-même.
Ceci suppose que l’équipe de développement d’Android doit repenser la philosophie de l’interface utilisateur du système d’exploitation pour y remédier. Faisant suite à la notification, un porte-parole de Google a annoncé que le Play Store intègre déjà les protections nécessaires pour détecter et empêcher l’installation des applications qui déclarent ces permissions dans leur fichier manifest. Il a également été fait mention d’Android O qui sera livré avec toutes les corrections nécessaires de l’interface utilisateur d’ici à son lancement prévu pour l’été prochain.
be
Sources : Publication, Cloak-and-Dagger
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
Une faille permet de déverrouiller l'écran des téléphones Android 5.x en saisissant un très long mot de passe, un correctif a été publié
Trend Micro publie une faille permettant d'exécuter du code arbitraire sur Android, un correctif est déjà disponible
Trend Micro découvre une faille permettant de rendre votre téléphone Android non fonctionnel, aucun correctif n'est encore disponible