Suite à une faille de sécurité majeure, les appareils de certains des plus grands fabricants de smartphones Android au monde sont vulnérables aux applications malveillantes que les systèmes d’exploitation considèrent comme fiables.
La nouvelle vient de Łukasz Siewierski, de l’Android Partner Vulnerability Initiative (APVI) de Google, qui a publiquement révélé la vulnérabilité en novembre 2022.
Comme l’a noté 9to5Google (s’ouvre dans un nouvel onglet)la divulgation de Siewierski ne révèle pas directement quels principaux fabricants Android ont vu leurs clés de signature de plate-forme divulguées, mais les analyses de virus de certains fichiers concernés ont confirmé que les appareils Samsung, LG, Xiaomi, Mediatech, szroco et Revoview sont affectés, mais c’est un liste évolutive et incomplète.
Abus d’applications de confiance
Pour citer Mishaal Rahman, rédacteur technique de la plate-forme cloud Esper, « c’est mauvais. Très, très mauvais. »
La vulnérabilité permet aux pirates de créer des applications malveillantes avec des privilèges au niveau du système, et même d’intégrer du code malveillant dans des applications Android préexistantes, non malveillantes et fiables. Et c’est à cause des clés de signature de la plate-forme.
Une clé de signature de plate-forme est un élément que le point de terminaison utilise pour s’assurer que le système d’exploitation en cours d’exécution est légitime. Ils sont utilisés pour créer des applications signées par la plate-forme, celles qu’un fabricant d’appareils a vérifiées comme sûres et exemptes de logiciels malveillants.
Si un pirate obtenait ces clés, il pourrait utiliser le système d’« ID utilisateur partagé » d’Android pour créer une application malveillante avec un accès complet au système.
Pour aggraver les choses, ce ne sont pas seulement les applications nouvellement créées qui peuvent être abusées de la sorte. Les applications déjà installées doivent toujours être signées régulièrement, ce qui signifie que les acteurs de la menace pourraient charger des logiciels malveillants dans des applications de confiance en peu de temps.
Suite à la démission, une simple mise à jour de l’application, qu’Android ne verrait alors pas comme problématique, suffirait à infecter un appareil.
Le problème a été repéré pour la première fois par Google en mai 2022, et la société affirme que tous les fabricants concernés ont pris « des mesures correctives pour vérifier l’impact sur l’utilisateur », bien qu’aucun autre détail n’ait été donné.
On ne sait toujours pas si ces mesures ont fonctionné, car 9to5Google a également affirmé que certaines des clés vulnérables avaient été utilisées dans les applications Android de Samsung au cours des derniers jours au moment de la rédaction.
Pourtant, Google a déclaré que les téléphones Android sont sûrs de plusieurs manières, notamment via Google Play Protect, les atténuations OEM, etc. Apparemment, les applications résidant dans le Play Store sont également sécurisées.
« Les partenaires OEM ont rapidement mis en œuvre des mesures d’atténuation dès que nous avons signalé le compromis clé. Les utilisateurs finaux seront protégés par les mesures d’atténuation des utilisateurs mises en œuvre par les partenaires OEM », a déclaré un porte-parole de la société.
« Google a mis en place de larges détections pour le malware dans Build Test Suite, qui analyse les images système. Google Play Protect détecte également le malware. Rien n’indique que ce malware est ou était sur le Google Play Store. Comme toujours, nous conseillons aux utilisateurs de assurez-vous qu’ils utilisent la dernière version d’Android.