Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

Le processus de mise à jour Android exploitable par des malwares
Pour l'acquisition de plus de privilèges

Le , par Stéphane le calme, Chroniqueur Actualités
En règle générale, procéder à une mise à jour de son système d’exploitation mobile s’accompagne de correctifs de sécurités qui viennent combler des failles dans la version précédente. Cependant, des chercheurs ont mis le doigt sur une faille dans le processus de mise à jour d’Android qui pourrait être exploitée par des logiciels malveillants.

Une équipe de chercheurs de l’université d’Indiana en collaboration avec Microsoft a publié un article qui décrit cette nouvelle vulnérabilité Android. Baptisé Pileup (un acronyme pour privilege escalation through updating – escalade de privilège par la mise à jour -), elle permet aux applications malveillantes installées d’accroître leur niveau de permission à l’insu de l’utilisateur une fois Android mis à jour. Cette vulnérabilité est présente dans le PMS (Package Management Service) d’Android.

Les chercheurs rappellent que passés quelques mois, une nouvelle mise à jour système est proposée et qui aurait pour conséquence le remplacement de dizaines de milliers de fichiers sur le système en direct. « Chacune de ces nouvelles applications installées doit être correctement configurée pour définir sa palette d’attributs au sein de ses propres sandbox ainsi que ses privilèges système sans pour autant endommager accidentellement les applications existantes et les données de l'utilisateur qui y sont stockées. L’installation de telles mises à jour complique la logique du programme, le rendant susceptible à des failles critiques de sécurité », notent les chercheurs.

«Au travers de l'application en cours d'exécution sur une version antérieure d'Android, l'adversaire peut stratégiquement demander un ensemble de privilèges soigneusement sélectionnés ou des attributs uniquement disponibles sur la version ultérieure du système d'exploitation. » Le problème est que, pour des raisons de convenance, aucun pop-up n’apparaît au niveau de l’interface utilisateur pour demander les permissions ; elles sont assignées automatiquement en arrière-plan sans que l’utilisateur n’en soit informé.

Les chercheurs ont comptabilisé au total six vulnérabilités Pileup dans le PMS Android et ont confirmé qu’elles sont présentes dans toutes les versions Android Open Source Project ainsi que dans plus de 3 500 versions personnalisées d’Android développées par les constructeurs. Au total, près d’un milliard d’appareils Android serait de potentielles victimes.
Ci-dessous, une sélection de quelques vidéos pour montrer quelles peuvent être les conséquences de l’utilisation d’un exploit Pileup à l’instar d’un piratage de votre compte Google ou même le vol de vos mots de passe sur les sites bancaires.






Les chercheurs en ont profité pour parler de leur outil de détection SecUP qui se chargera de repérer les applications malveillantes installées sur votre mobile qui attendent d’élever leurs privilèges. Par la suite, si le scanner en rencontre une, il vous donnera une série d’instructions pour vous guider dans la désinstallation de l’application pour pouvoir effectuer votre mise à jour en sécurité

Télécharger SecUP sur Google Play

Source : Etude (au format PDF)

Et vous ?

Qu'en pensez-vous ?

Allez-vous essayer SecUP ? Pouvez-vous proposer une alternative ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 25/03/2014 à 7:57
Mince alors on peut même plus avoir confiance en la recopie des données !
ça me fait juste penser que le système est mal foutus sur niveau mise à jour
Offres d'emploi IT
Responsable protection des données H/F
Safran - Ile de France - Magny-les-Hameaux (78114)
Ingénieur H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Ingénieur développement fpga (traitement vidéo) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil