Cloak & Dagger : une vulnérabilité avec des fonctionnalités Android

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Cloak & Dagger : une vulnérabilité avec des fonctionnalités Android

Publié le 29 mai 2017 à 18:30 par Jérôme G.

Lire sur mobile

L'association de deux autorisations légitimes pour des applications Android ouvre la voie à une vulnérabilité pour mener des actions malveillantes.

Des chercheurs de Georgia Tech et de l'université de Californie à Santa Barbara ont découvert ce qu'ils estiment être " une nouvelle classe d'attaques potentielles affectant les appareils Android " : Cloak & Dagger.

Les versions d'Android jusqu'à la version 7.1.2 actuelle seraient vulnérables. La vulnérabilité réside en une association malveillante de deux autorisations légitimes pour des applications qui pourrait permettre à un attaquant de prendre insidieusement le contrôle d'un appareil.

La manœuvre consiste à superposer une fausse information au niveau de l'interface graphique afin de dissimuler des activités malveillantes comme la capture de mots de passe ou la lecture de données saisies dans des applications populaires.

Georgia Tech explique que le cas échéant, une attaque menée avec succès nécessiterait une première installation par l'utilisateur d'un type de malware qui pourrait être caché dans un jeu piraté ou une autre application.

Les deux fonctionnalités - ou autorisations - impliquées dans une attaque sont BIND_ACCESSIBILITY_SERVICE (ou a11y) et SYSTEM_ALERT_WINDOW. La première est en rapport avec l'accessibilité, et la deuxième permet la création d'une fenêtre venant se superposer à l'écran de l'appareil (permission de se superposer aux autres applications).

Ci-dessous, une démonstration d'une attaque avec l'autorisation de superposition octroyée automatiquement et une application malveillante qui trompe l'utilisateur pour obtenir l'autorisation a11y et en tirer parti :

Ce n'est pas la première fois que des autorisations légitimes sont la cause de soucis pour Android mais c'est a priori la première fois qu'une telle association potentiellement malveillante est mise au jour. Plus de détails sur Cloak & Dagger sont disponibles sur un site dédié.

Dans l'absolu, les recommandations habituelles ne varient pas dont celle d'éviter les sources non sûres pour télécharger des applications (et essentiellement hors Google Play Store). Pour jeter un coup d'œil aux autorisations potentiellement problématiques, la démarche à suivre est explicitée dans une FAQ.

Google a réagi en indiquant avoir été en contact avec les chercheurs et avoir mis à jour ses services de sécurité pour tous les appareils Android avec Google Play. Ils sont désormais réunis sous l'égide de Google Play Protect. Avant même la publication des travaux des chercheurs, Google assure avoir implémenté dans Android O de nouvelles protections de sécurité adéquates.