Les chercheurs ont trouvé de nombreuses applications dépourvues de validation des cookies de session lors du transfert de données entre appareils. Telle qu'elle a été observée, cette vulnérabilité permet le clonage non autorisé d'applis par un adversaire depuis l'appareil de la victime vers son propre appareil via les outils de migration d'appareils Android.
La validation manquante dans de nombreuses applications permet le clonage non autorisé d'applications sur Android
Selon un rapport récent de CloudSEK, leurs chercheurs ont observé un risque de sécurité sérieux pour les utilisateurs d'Android, posé via des fonctions de type clone de téléphone.
Comme expliqué, les chercheurs ont remarqué que de nombreuses apps manquaient de validation des cookies de session lorsqu'elles copiaient les données de l'app sur d'autres appareils.
Le clonage d'applications est une fonctionnalité populaire sur les appareils Android. De nombreux fournisseurs, tels que Samsung, Realme et Oppo, sont livrés avec des outils de migration d'appareils intégrés pour faciliter les utilisateurs dans le transfert des apps et des données du téléphone vers de nouveaux appareils.
Bien que pratique, l'absence inhérente de validation des cookies de session permet à un adversaire de cloner lui-même des apps à l'insu de la victime. Il suffit que l'attaquant ait un accès physique à l'appareil de la victime. Et si l'appareil cible ne dispose d'aucun verrou de sécurité, comme les codes PIN ou l'authentification biométrique, copier des apps sur un autre appareil ne prendra que quelques secondes.
Les chercheurs ont par exemple mentionné WhatsApp qui, lorsqu'il est cloné, permet même à l'attaquant de contourner le 2FA car les clés secrètes de WhatsApp sont copiées sur le nouvel appareil.
À ce stade, le seul moyen pour un utilisateur de savoir si quelqu'un a furtivement copié WhatsApp est d'utiliser WhatsApp Web, qui chargerait les messages des deux appareils. L'utilisateur peut rechercher tout message non reconnu envoyé depuis son compte. Cependant, cette méthode ne fonctionnera pas si l'attaquant supprime les conversations concernées.
Les chercheurs ont démontré l'attaque en utilisant deux téléphones Realme, RMX2170 et RMX3660, ainsi que certains appareils Oneplus et Oppo, à l'aide d'outils de migration intégrés, tels que le Clone Phone de Realme. Cependant, cette expérience n'a pas fonctionné sur les téléphones Samsung, ce qui indique la résistance de l'appareil à de telles attaques en un clic.
Liste des apps vulnérables au clonage malveillant :
Les chercheurs ont mentionné les apps suivantes les plus utilisées qui ne parviennent pas à invalider les cookies de session.
- Canva
- BookMyShow
- Snapchat
- KhataBook
- Télégramme
- Zomato
- Whatsapp business
- Strava
- Conduite sur autoroute
- BlinkIT
- Future paye – BigBazaar appartient désormais à Reliance
- Adani One
- Clash of Clans, Clash Royal (Supercell)
- Discord
- Booking.com
En ce qui concerne l'impact de ces attaques, les chercheurs soulignent l'accès malveillant non autorisé aux comptes des victimes, entraînant des dommages financiers et des pertes de réputation, comme conséquences possibles.
Étant donné que cette attaque exploite généralement l'absence d'une fonction de sécurité clé des apps, garder les appareils sécurisés avec des verrous d'écran est la stratégie la plus viable pour l'empêcher. De même, les chercheurs conseillent aux utilisateurs d'activer la fonction 2FA sur tous les comptes et de veiller à ne jamais laisser leurs appareils sans surveillance dans les lieux publics.
Fais-nous part de tes réflexions dans les commentaires.
