Des chercheurs de l'université de l'Indiana à Bloomington et de Microsoft Research ont découvert un nouveau type de vulnérabilité. Baptisées failles Pileup, ce sont des vulnérabilités d'élévation de privilèges qui sont exploitées via le mécanisme de mise à jour d'Android et plus particulièrement son gestionnaire de paquets.
Un exemple donné est celui d'une autorisation ADD_VOICEMAIL qui permet à une application d'ajouter des messages vocaux dans le système. Elle sera ignorée dans Android 2.3.6 parce qu'elle n'existe pas dans cette version. Par contre, elle a été ajoutée dans Android 4.0.4. Lors d'une mise à jour vers Android 4.0.4, l'application malveillante sera en mesure d'exploiter l'autorisation sans que l'utilisateur en soit averti.
Threatpost a analysé la publication des chercheurs (PDF) et résume la situation. " La vulnérabilité se produit dans la manière dont le gestionnaire de paquets gère les mises à jour des nombreuses versions d'Android en circulation aujourd'hui ". " Il examine mal les applications qui demandent des privilèges qui n'existent pas sur une ancienne version, mais sont obtenus automatiquement une fois le système mis à jour. "
Ce sont six vulnérabilités Pileup qui ont été identifiées dans le gestionnaire de paquets. Elles sont présentes dans toutes les versions officielles d'Android et pour plus de 3 500 versions personnalisées d'Android qui sont développées par des fabricants de terminaux ou opérateurs. Les chercheurs soulignent que cela représente plus d'un milliard de terminaux Android.
Toutes les failles ont été rapportées à Google et une a été corrigée. Les chercheurs ont créé un outil dénommé SecUP ou Secure Update Scanner. Disponible dans Google Play, il propose un scanner afin de détecter des applications sur un appareil qui pourraient devenir malveillantes à la suite d'une mise à jour du système d'exploitation mobile.
Démo d'une attaque Pileup pour hacker un compte Google
