Une faille dans Android permet à un attaquant d'enregistrer l'activité de l'écran et l'audio système
Lollipop, Marshmallow et Nougat concernés

Le , par Patrick Ruiz, Chroniqueur Actualités
Le système d’exploitation Android est présent sur des milliards de dispositifs de par le monde et, en tant que logiciel, n’échappe pas à une des règles du test qui stipule que l’absence des failles est une utopie. Les chercheurs de la firme de sécurité MWR InfoSecurity ont mis une nouvelle vulnérabilité du système d’exploitation à nu. Remontée à Google début janvier 2017 par l’équipe de chercheurs, elle permet à un attaquant d’abuser d’une application pour amener un utilisateur à enregistrer l’activité de son écran à son insu. La note d’information des chercheurs fait également état de la possibilité de siphonner l’audio du système.

La vulnérabilité affecte les smartphones qui font tourner les distributions Lollipop, Marshmallow et Nougat ; c’est dire qu’au moment où ces lignes sont écrites, plus de 75 % des dispositifs Android sur le marché sont concernés. En cause, le framework MediaProjection qui a lancé avec la distribution Lollipop et dont le rôle est de permettre aux développeurs de capturer l’activité de l’écran d’un smartphone.

D’après ce que rapportent les chercheurs de la firme de sécurité MWR InfoSecurity, dans les distributions antérieures à Lollipop, les applications dotées de fonctionnalités de ce type devaient soit être dotées de privilèges root, soit être signées avec des clés spéciales, ce qui laisse penser qu’elles étaient réservées à des fabricants d’équipements d’origine. À partir de Lollipop, elles sont accessibles à des développeurs tiers via ce framework et la conséquence est qu’ils n’ont besoin ni de privilèges root, ni de signatures d’applications.

De plus, comme le notent les chercheurs de la firme de sécurité, il n’est pas nécessaire de requérir des permissions via le fichier manifest de l’application. « Pour utiliser le service, une application n’a qu’à en requérir l’accès via un Intent. L’accès au service est accordé via l’affichage d’une invite système qui prévient l’utilisateur que l’application requiert la permission de capturer l’activité de l’écran », écrivent les chercheurs. En principe, l’utilisateur est prévenu de l’activité qui fait problème sauf que les chercheurs de la firme de sécurité ajoutent qu’il est possible de superposer une invite malicieuse à celle générée par le système. Un message bien placé et l’utilisateur de l’application se fait rouler.

« Cette vulnérabilité tient principalement à ceci que les versions d’Android affectées sont incapables de détecter qu’une invite système a été partiellement masquée », ajoutent les chercheurs.


À date, seule la distribution Oreo du système d’exploitation Android contient un correctif à ce problème. Les anciennes distributions du système d’exploitation restent donc vulnérables. Toutefois, les chercheurs de la firme de sécurité précisent que ce type d’attaque n’est pas totalement silencieux. D’après ces derniers, une application qui accède à ce service génère une notification dans la barre dédiée à cet effet. Les utilisateurs devront porter une attention particulière à la présence d’une icône screencast tel qu’illustré ci-dessus. Moralité : attention aux applications que l'on télécharge. Fort heureusement, dans ce cas il y a un point d'appui pour la vigilance.

Source

MWR InfoSecurity

Votre avis

Que pensez-vous de cette vulnérabilité ?

Voir aussi

Android : les utilisateurs exposés à une panoplie d'attaques par le biais de deux permissions de l'OS, des démos sont disponibles


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de - https://www.developpez.com
le 20/11/2017 à 10:58
Une faille dans Android permet à un attaquant d'enregistrer l'activité de l'écran et l'audio système
Une faille dans android permet à d'autres que google d'enregistrer l'activité de l'écran et l'audio système
Une fois j'ai téléchargé une application de programme télé pour mes parents, l'enregistrement audio était automatiquement activé dans les options (pour écouter les commentaires des téléspectateurs).
Facebook en fait de même lorsqu'on envoie des message.
Enregistrer ce qu'il se passe à l'écran à toujours été possible aussi.

C'est pas une faille, c'est juste une fonctionnalité exploitable même si on a oublié de demander la permission
Contacter le responsable de la rubrique Accueil