Une vulnérabilité affecte 99 % des appareils sous Android
La seconde faille exploitable sur la plateforme découverte par des analystes chinois

Le , par Stéphane le calme, Chroniqueur Actualités
Bluebox Security, un cabinet chinois d'analyse et de recherche en sécurité, affirme avoir découvert une seconde vulnérabilité Android qui pourrait être utilisée pour modifier les applications sur les smartphones de la plateforme sans pour autant casser leur signature digitale.

La start-up a dénoté une similarité de la vulnérabilité à celle qu'ils avaient découverte auparavant et nommée master key (clé principale), une faille vieille de quatre ans sur Android (Android 1.6 au nom de code Donut) qui pouvait être utilisée pour injecter des logiciels malveillants sur 99 % des appareils Android sur le marché. Ce qui signifiait que toute application légitime pouvait être transformé en Trojan avant d'être remis à disposition du public pour le téléchargement sans que l'utilisateur final, le smartphone ou même la boutique en ligne ne remarque la différence.

Bluebox Security a prévu d'en dire plus le 1er août lors de la présentation Black Hat. Pourtant, un ingénieur à la sécurité mobile chez ViaForensics du nom de Pau Oliva Fora explique que la découverte chinoise n'est qu'une différente approche pour accomplir le même objectif que l'exploit précédent. Dans un blog, Oliva Fora a mis sur pied un exploit (inoffensif) pour prouver son concept basé sur la vulnérabilité mentionnée par Bluebox.

Ses travaux ainsi que ceux d'autres chercheurs tentent de prouver qu'il s'agit plus d'une simple ruse de duplication de nom de fichier dans l'application d'installation d'Android au lieu de quelque chose de plus perfectionné comme une collision de hachage.

Des paquets d'installation Android sont compressés dans des conteneurs qui fonctionnent comme des fichiers d'archive ZIP. Les utilitaires ZIP n'autorisent généralement pas d'avoir deux fichiers portant le même nom dans une archive mais le format ZIP lui-même n'exclut pas les noms de fichiers dupliqués. Il est alors possible de créer un utilitaire avec des noms de fichiers dupliqués.

Paul Ducklin a écrit à ce propos sur le blog de Sophos Nacked Security que « le vérificateur de chiffrement d'Android valide la première version d'un fichier répété dans une archive APK, mais le programme d'installation extrait et déploie la dernière version ». « En d'autres termes, l'APK passe ses tests de chiffrement lors de l'installation même si celui qui le programme installé n'est pas le bon » explique-t-il.

Bien que le potentiel de l'attaque est limité car les fichiers ciblés (de la classes.dex de type) doivent être plus petits que 64 k, Google a déjà publié un correctif de sécurité pour couvrir les deux failles découvertes par Bluebox à l'intention de ses fabricants. Pour l'instant, seul le Galaxy S4 est protégé contre cette vulnérabilité explique Trend dans un billet blog.

D'ailleurs le cabinet de recherche en sécurité va plus loin en donnant une perspective additionnelle au problème. Jonathan Leopando, un membre de l'équipe technique de Trend, explique que « cette vulnérabilité peut être utilisée pour remplacer les applications légitimes sur un appareil Android avec les versions malveillantes. Une fois sur l'appareil, elles peuvent se comporter de la même manière que n'importe quelle autre application malveillante , à l'exception du fait que l'utilisateur pourrait penser qu'il fait usage d'une application tout à fait légitime. ».

Source : blog Sina (traduction du chinois par Google), Sophos, Blog Trend Micro, Pau Oliva Fora

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Chef de Projet technico-fonctionnel H/F
BULL FR - Languedoc Roussillon - Montpellier
Développeur .NET
ONE CUBE - Provence Alpes Côte d'Azur - Aix en provence
e-Education (H/F)
Atos - Provence Alpes Côte d'Azur - Sophia Antipolis

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil