"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui regardent et laissent faire !" Albert Einstein

Une faille Android permet d'installer des malwares dormants sur tous les terminaux


Si vous possédez un terminal Android, sachez qu’une mise à jour de votre système d’exploitation peut, éventuellement, activer des malwares qui se trouvaient déjà sur votre téléphone dans un état dormant et parfaitement inoffensif. Un groupe de chercheurs de l’université d’Indiana et de Microsoft Research vient en effet de découvrir une série de failles dans le dispositif de mise à jour d’Android qui permet à une application déjà installée d’acquérir de nouveaux privilèges systèmes.

Une telle attaque serait particulièrement subtile et difficilement détectable. Un pirate pourrait, par exemple, publier sur les boutiques en ligne des applications dépourvues de tout privilège, donc en apparence parfaitement sécurisées. Mais le jour où l’utilisateur met à jour son système, cette application pourrait se transformer en un malware particulièrement dangereux (voir encadré ci-dessous pour l’explication technique).

Chaque application Android peut être dotée d’un certain nombre de privilèges d’accès, liés à ses fonctionnalités. Ces privilèges sont décrits dans un fichier baptisé manifest.xml. Au moment de l’installation de l’application, le système Android parcourt ce fichier et avertit l’utilisateur sur les éventuels risques. Le problème, c’est que certains privilèges n’existent qu’à partir de certaines versions d’Android, et que les versions inférieures sont incapables de les reconnaître. L’idée est donc d’insérer des privilèges futurs dans le fichier manifest.xml. L’actuelle version d’Android n’en tiendra pas compte, mais quand l’utilisateur mettra à jour son système, elles seront automatiquement activées, sans aucune alerte.

Samsung particulièrement touché 

Ces failles, baptisées "Pileup Flaws", sont d’autant plus dangereuses qu’elles existent dans presque toutes les versions existantes d’Android, en particulier celles diffusées par Google, LG, HTC et Samsung. Les terminaux de ce dernier sont d’ailleurs particulièrement vulnérables, car la surcouche développée par l’entreprise sud-coréenne renferme beaucoup plus d’opportunités de piratage que les autres.

Concrètement, quels sont les risques encourus par les utilisateurs? Les chercheurs ont donné une série d’exemples. En fonction de la version d’Android utilisée, un malware pourrait accéder aux messages vocaux, siphonner les logs, envoyer des SMS, modifier les permissions d’autres applications, injecter du code javascript dans le navigateur web, etc. Les chercheurs ont même réussi, dans un cas précis, à remplacer l’application Google Calendar par une autre, à caractère malveillant. Bref, le champ du possible est très large. Au total, les chercheurs ont répertorié des centaines d’opportunités de piratage dans des milliers de terminaux différents.

Ci-dessous une vidéo de démonstration d’une application qui intercepte les messages texte:



Le grand problème de ces "Pileup Flaws", c’est que ces failles de sécurité ne peuvent pas être facilement comblées, en raison de la grande fragmentation du marché Android. Presque chaque constructeur a créé sa propre version de ce système. C’est autant de patchs qu’il faudra donc diffuser. Et comme ni les constructeurs, ni les utilisateurs ne sont pas particulièrement réactifs dans ce genre de procédure, on entrevoit l’ampleur de la tâche. C’est pourquoi les chercheurs ont développé une appli,  baptisée "Secure Update Scanner", qui permet de scanner les applications installées sur un terminal pour voir si elles ne risquent pas de se doter de privilèges d’accès dans une future mise à jour. Cette application est gratuite et disponible, entre autres, sur Google Play, Amazon App Store, GetJar et SlideMe. Il est fortement recommandé de l’installer.

99% des smartphones Android frappés par une faille de sécurité majeure

Un petit milliard de smartphones ? 900 millions à en croire les chiffres annoncés par Google lors de la dernière Google I/O, c’est le nombre de smartphones sous Android qui étaient activés en mai dernier. A en croire Bluebox, une startup américaine spécialisée dans la sécurité informatique, 99% de ces téléphones sous Android seraient concernés par une faille de sécurité critique présente dans toutes les versions du système d’exploitation de Google depuis sa version 1.6 (Donut).

« Des implications énormes »

Une faille de sécurité dans la master key d’Android, qui permet à une personne mal intentionnée de modifier le code des paquets applicatifs d’Android, les fameux APK, sans altérer la signature chiffrée de l’application. Autrement dit, cela permet de transformer n’importe quelle application en un cheval de Troie ou autre malware. Sans que le magasin applicatif, le téléphone ou l’utilisateur ne puissent s’en apercevoir. « Les implications sont énormes ! », écrit Jeff Forristal, le directeur technique de Bluebox, sur le blog de son entreprise.

D’autant que ces implications sont multipliées exponentiellement quand on applique à chaque situation personnelle ou d’entreprise, le multiplicateur de risques potentiels représentés par les applications développées par les fabricants de smartphones ou les éditeurs tiers à qui sont attribués des droits privilégiés.

Des scénarios catastrophes

Dès lors on peut imaginer une application malveillante, pourtant reconnue comme valide et non dangereuse, qui accède à toutes les données contenues sur un smartphone, quelle que soit l’application qui les génère et stocke : SMS, mails, contacts, fichiers, mots de passe, etc. Un smartphone zombie, comme il y a des PC zombies, dont la caméra peut être activée à tout moment, qui peut enregistrer les appels sans que l’utilisateur le sache, et qui peut même appeler seul un numéro surtaxé, par exemple. Jeff Forristal décrit même une entité zombie qui composerait un botnet sans cesse mouvant donc difficile à détecter.

Google Play potentiellement épargné

Tous les détails techniques n’ont pas encore été dévoilés au grand public, ni aux experts de sécurité. Seul Google a été alerté en février dernier de l’existence de cette faille.

D’autres experts en sécurité jugent cette trouvaille plausible même s’ils indiquent que ses répercussions pourraient être moins inquiétante que le tableau dressé par Jeff Forristal. C’est le cas de Sean Sullivan, de F-Secure, qui pense que Google Play, soit le principal kiosque de téléchargement d’application, pourrait et peut même peut-être déjà contrôler ce problème. « Une interaction avec Google play permettrait à Google de reconnaître une application altérée », expliquait-il à nos confrères britanniques de The Inquirer.

Google Play est en effet pourvu de nombreux outils, dont son Bouncer, utilisé pour scanner les applications à la recherche de malwares. En revanche, ce n’est pas le cas des autres magasins applicatifs en ligne, qui sont à l’origine de nombreuses contaminations.

Faire preuve de prudence mais pas de suspicion

Dans ce contexte et en attendant d’en savoir plus sur cette faille, Jeff Forristal appelle à la prudence et conseille aux entreprises de surveiller de près l’utilisation des appareils personnels dans le contexte professionnel. Le BYOD est effectivement une des principales sources de problèmes de sécurité pour les entreprises, qu’elles soient des TPE/PME ou des grands comptes.

Pour en savoir plus, il faudra attendre la conférence de Jeff Forristal, intitulée Android : one root to own them all, qui se tiendra pendant la prochaine conférence Black Hat du 27 juillet au 1er août prochain, à Las Vegas. Si le potentiel néfaste de cette faille semble bien réel, rien ne prouve pour l’instant que cette dernière a été utilisée pour l’instant. Pas la peine de regarder votre smartphone Android d’un œil plus suspicieux.