Faille pour 99% des terminaux Android : un exploit et une correction

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Faille pour 99% des terminaux Android : un exploit et une correction

Publié le 10 juillet 2013 à 11:40 par Jérôme G.

Lire sur mobile

Publication d'un exploit pour la vulnérabilité de signature des applications Android qui touche 99% des terminaux. Google a mis au point un correctif mais son déploiement par les fabricants risque de prendre beaucoup de temps.

En début de mois, Bluebox Security a fait souffler un petit vent de panique en annonçant la découverte d'une vulnérabilité Android permettant à un attaquant de concevoir une mise à jour malveillante d'un fichier APK ( Android Package ) sans casser sa signature cryptographique.

Autrement dit, un attaquant peut créer deux versions d'un fichier pour le système d'exploitation Android avec le même nom et sans éveiller des soupçons lors de la vérification de la signature numérique.

Kaspersky Lab explique que les deux fichiers - un bénin et l'autre avec un code exploit - peuvent être associés dans une archive zip de manière que le fichier bénin soit utilisé quand l'appareil vérifie la signature puis le fichier malveillant est chargé.

Cette faille est présente depuis 4 ans avec la sortie d'Android 1.6 alias Donut et susceptible d'affecter 99 % des terminaux sous Android. Plusieurs experts en sécurité parlent d'une Master Key.

Alors que Bluebox Security doit faire une présentation à l'occasion de la conférence Black Hat USA à la fin du mois, The H signale qu'un exploit a été publié sur GitHub. Il s'agit d'une preuve de concept qui ne permet pas d'injecter un malware et consiste à permettre à une application de se déguiser sous l'identité d'une autre application.

Bluebox Security a alerté Google de sa trouvaille en février dernier. Depuis mars, Google a diffusé des correctifs auprès de ses partenaires OEM. La firme de Mountain View n'a pas fait de commentaire mais une chargée des relations presse pour Android a confirmé à ZDNet que des fabricants comme Samsung intègrent déjà le correctif pour des terminaux Android. C'est pas exemple le cas du Samsung Galaxy S4.

Le déploiement de ce correctif pourrait toutefois prendre un long moment pour certains utilisateurs... et encore si ils y ont accès. Peu probable en effet que tout le monde soit servi alors que des terminaux plus ou moins anciens n'ont pas vu l'ombre d'une mise à jour firmware depuis belle lurette.

Symantec, qui édite Norton Mobile Insight, a ajouté à sa solution de sécurité une détection des conditions de la vulnérabilité. Après quatre millions d'applications passées au crible, aucune utilisation malveillante de la fameuse vulnérabilité n'a été découverte. Toutefois, il y a bien " quelques applications " qui exploitent " involontairement " la vulnérabilité.

Point important, il n'est a priori pas possible de trouver dans le Google Play des applications qui exploitent la vulnérabilité compte tenu du mécanisme utilisé par le store pour la validation des applications.