Des chercheurs en sécurité ont mis en lumière l’existence d’une faille dans la sécurité du mécanisme de sauvegarde du système d’exploitation mobile Android qui pourrait être exploitée. Même si Google a confirmé son existence, le numéro un de la recherche l’a catégorisée comme étant « faible » dans son indice de gravité des failles ainsi que les conséquences associées dans le cas d’une exploitation réussie de la faille. Pour rappel, Google a identifié deux conséquences dans ce cas de figure : l’accès à des capacités d’autorisation de niveau « normal » sans autorisation avec une application installée sur le dispositif ainsi qu’un déni de service local temporaire (qui peut être résolu en rebootant le dispositif dans le Mode Sécurisé et en enlevant l’application à l’origine du problème).
La vulnérabilité a été portée à la connaissance de Google par des chercheurs de Search Lab, une entreprise en sécurité basée en Hongrie, en juillet 2014. Pratiquement un an après, Google n’aurait pas colmaté la faille alors ils ont décidé de la rendre publique. La vulnérabilité, qui a été répertoriée sous le nom CVE-2014-7952, est liée à une fonctionnalité permettant de sauvegarder / restaurer depuis l’outil de ligne de commande Android Debug Bridge (ADB) qui peut servir de canal de communication avec un dispositif Android ou une instance émulée.
Search Lab a expliqué que « par défaut, la sauvegarde complète des applications, y compris les fichiers privés stockés est effectuée, mais ce comportement peut être personnalisé en implémentant une classe de BackupAgent. De cette façon, les applications peuvent alimenter le processus de sauvegarde des fichiers et des données personnalisées. Le fichier de sauvegarde créé est une simple archive compressée tar avec des en-têtes spécifiques Android. Le chiffrement optionnel est également possible ».
Le problème, selon les chercheurs, est que le gestionnaire de sauvegarde qui est chargé d'invoquer la classe BackupAgent ne filtre pas le flux de données retourné par l'application. Cela permet à un BackupAgent d'injecter des APK malveillants dans l'archive de sauvegarde, sans que l’utilisateur soit au courant ou même accorde son consentement explicite puisque le BackupAgent n’a pas besoin d’autorisations Android. Lorsque l'archive de sauvegarde est restaurée, l'application injectée est automatiquement installée (puisqu’elle fait partie de l’archive de sauvegarde et que le système va penser qu’elle est authentique) et va se voir accorder des autorisations non-système dont il a besoin, par exemple se lancer automatiquement à la séquence de démarrage ou envoyer des SMS.
Dans un dépôt GitHub, les chercheurs ont mis à la disposition de tous une petite application en guise d’illustration pour démontrer la vulnérabilité. Ladite application a été testée sur Android 4.4.4 et Android 5.1.1.
« Nous tenons à remercier les chercheurs pour l’identification du problème et pour nous avoir fourni des informations. Par notre indice de gravité qui est mis à la disposition du public, nous l’avons classé parmi les faibles gravités, » a expliqué un porte-parole de Google. « Ce problème ne concerne pas les utilisateurs d'Android qui utilisent leurs dispositifs de façon standard, puisqu’il nécessite l’activation d’une fonctionnalité uniquement développeur qui n’est pas activée par défaut et n’est pas fréquemment utilisée. L’exploitation exige également que les utilisateurs installent une application potentiellement dangereuse. Nous n’avons pas observé une quelconque tentative d'exploitation à ce jour. Nous allons continuer à surveiller les abus potentiels avec VerifyApps et SafetyNet, ainsi que dans Google Play. Nous encourageons vivement les utilisateurs à installer des applications à partir d'une source de confiance, telle que Google Play ».
Source : dépôt GitHub, Android Debug Bridge, indice de sévérités des failles Android
Et vous ?
Qu'en pensez-vous ?