Une fuite de sécurité majeure d'Android a conduit à la création d'applications malveillantes “de confiance” qui permettent aux pirates d'accéder au niveau du système à l'ensemble du système d'exploitation Android sur les appareils de Samsung, LG, Mediatek et autres, ce qui le rend vulnérable aux attaques.
Découvert par un rétro-ingénieur de l'équipe de sécurité Android de Google, ukasz Siewierski (via Mishaal Rahman), le problème a été partagé dans un rapport désormais public sur l'outil de suivi des problèmes de l'Android Partner Vulnerability Initiative (AVPI).
LA FUITE DE SÉCURITÉ ANDROID
Les clés de signature de plate-forme, ou certificats de plate-forme, de plusieurs fabricants d'équipement d'origine (OEM) d'appareils Android ont été divulguées en dehors de leurs sociétés respectives. Ces clés de plate-forme, qui sont destinées à vérifier l'authenticité de l'application “Android”, peuvent également être utilisées pour se connecter à des applications individuelles.
“Un certificat de plate-forme est le certificat de signature d'application utilisé pour signer l'application” Android “sur l'image système. L'application “android” s'exécute avec un identifiant utilisateur hautement privilégié – android.uid.system – et détient les autorisations système, y compris les autorisations d'accès aux données de l'utilisateur », explique le journaliste de Google.
“Toute autre application signée avec le même certificat peut déclarer qu'elle veut s'exécuter avec le même identifiant d'utilisateur, lui donnant le même niveau d'accès au système d'exploitation Android.”
LE PROBLÈME DÛ À LA FUITE
Étant donné que la clé de plusieurs OEM Android est désormais disponible pour les pirates malveillants, cela signifie qu'ils peuvent utiliser ces clés de signature d'application pour installer facilement des logiciels malveillants sur le smartphone et fournir au programme malveillant le plus haut niveau d'accès au système, lui permettant ainsi un accès presque illimité. aux données de l'utilisateur.
Cette vulnérabilité Android est causée non seulement par une application nouvelle ou inconnue, mais également par une application système, car ces clés de plate-forme divulguées permettent aux utilisateurs de signer des applications courantes (comme Bixby sur Samsung) en utilisant la même clé.
De plus, le pirate pourrait ajouter un logiciel malveillant à une application de confiance et signer la version malveillante avec la même clé pour lui donner un aspect authentique afin qu'Android la considère comme une « mise à jour ».
Puisqu'il s'agit d'une application de confiance, un utilisateur peut voir qu'une mise à jour est nécessaire et cliquer sur le bouton de mise à jour sans y réfléchir à deux fois.
RÉPONSE DE GOOGLE À LA FUITE
Bien que Google ait divulgué publiquement ce problème, il n'a pas fourni d'informations sur les appareils ou les équipementiers les plus touchés par la fuite. Afin d'informer les utilisateurs de la même chose, le géant de la recherche a publié le hachage d'exemples de fichiers malveillants sur VirusTotal.
Sur la base de certaines des clés de plate-forme abusées téléchargées sur VirusTotal, elles révèlent qu'elles appartiennent à Samsung, LG, MediaTek, Revoview et szroco, qui fabrique les tablettes Onn de Walmart.
Tous les fournisseurs concernés ont été informés par Google de faire pivoter le certificat de plate-forme en le remplaçant par un nouvel ensemble de clés publiques et privées. Ils ont également été invités à mener une enquête interne pour trouver la cause profonde du problème et prendre des mesures pour prévenir de futurs incidents.
“Nous recommandons également fortement de minimiser le nombre d'applications signées avec le certificat de plate-forme, car cela réduira considérablement le coût de rotation des clés de plate-forme si un incident similaire se produit à l'avenir”, a ajouté Google.
Selon la divulgation complète de Google, tous les OEM ont été informés de la vulnérabilité en mai 2022, qui a déjà été corrigée et seul le rapport a été publié maintenant.
Par conséquent, Samsung et d'autres marques de smartphones ont déjà “pris des mesures correctives pour minimiser l'impact sur l'utilisateur”. Cependant, selon APKMirror, certaines des clés de plate-forme divulguées étaient encore utilisées pour signer numériquement des applications Android par Samsung au cours des derniers jours.
“Les partenaires OEM ont rapidement mis en œuvre des mesures d'atténuation dès que nous avons signalé le compromis clé. Les utilisateurs finaux seront protégés par les mesures d'atténuation des utilisateurs mises en œuvre par les partenaires OEM. Google a mis en place de larges détections pour les logiciels malveillants dans Build Test Suite, qui analyse les images système », a déclaré un porte-parole de Google.
“Google Play Protect détecte également le malware. Rien n'indique que ce malware est ou était sur le Google Play Store. Comme toujours, nous conseillons aux utilisateurs de s'assurer qu'ils utilisent la dernière version d'Android.
