En raison d'une faille de sécurité majeure, les appareils de certains des plus grands fabricants de smartphones Android au monde sont vulnérables aux applications malveillantes que les systèmes d'exploitation jugent dignes de confiance.
La nouvelle vient de Łukasz Siewierski de l'Android Partner Vulnerability Initiative (APVI) de Google, qui a publiquement révélé la vulnérabilité en novembre 2022.
Comme l'a rapporté 9to5Google(Ouvre dans un nouvel onglet), la divulgation de Siewierski ne révèle pas directement les principaux fabricants d'Android sur lesquels les clés de signature de leur plate-forme ont été divulguées, mais les analyses de virus de certains fichiers concernés ont confirmé que Samsung, LG, Xiaomi, Mediatech, szroco, et les appareils Revoview sont concernés, mais il s'agit d'une liste incomplète et en développement.
Utilisation abusive d'applications de confiance
Pour citer Mishaal Rahman, rédacteur technique pour la plateforme cloud Esper, « C'est mauvais. Très très mauvais".
La vulnérabilité permet aux pirates de créer des applications malveillantes avec des privilèges au niveau du système et même d'intégrer du code malveillant dans des applications Android préexistantes, non malveillantes et de confiance. Et c'est à cause des clés de signature de la plate-forme.
Une clé de signature de plate-forme est quelque chose que le point de terminaison utilise pour s'assurer que le système d'exploitation en cours d'exécution est légitime. Ils sont utilisés pour créer des applications signées par la plate-forme, celles qu'un fabricant d'appareils a vérifiées comme sûres et exemptes de logiciels malveillants.
Si un pirate obtenait ces clés, il pourrait utiliser le système d'« ID utilisateur partagé » d'Android pour créer une application malveillante avec un accès complet au système.
Pour aggraver les choses, ce ne sont pas seulement les applications nouvellement créées qui peuvent être abusées de cette manière. Les applications déjà installées doivent toujours être signées régulièrement, ce qui signifie que les pirates pourraient charger des logiciels malveillants dans des applications de confiance en un rien de temps.
Après la démission, une simple mise à jour de l'application, qu'Android ne verrait plus tard comme problématique, suffirait à infecter un appareil.
Google a détecté le problème pour la première fois en mai 2022, et la société affirme que tous les fabricants concernés ont pris "des mesures correctives pour vérifier l'impact sur les utilisateurs", bien qu'aucun autre détail n'ait été annoncé.
On ne sait pas si ces mesures ont fonctionné, car 9to5Google a également affirmé que certaines des clés vulnérables avaient été utilisées dans les applications Android de Samsung ces derniers jours au moment de la rédaction.
Pourtant, Google a déclaré que les téléphones Android sont sécurisés de plusieurs manières, notamment via Google Play Protect, les atténuations OEM, etc. Les applications résidant sur le Play Store sont également apparemment sûres.
« Les partenaires OEM ont rapidement mis en œuvre des mesures d'atténuation dès que nous avons signalé le compromis clé. Les utilisateurs finaux seront protégés par les mesures d'atténuation des utilisateurs mises en œuvre par les partenaires OEM », a déclaré un commerçant à Word of Society.
"Google a mis en place des détections étendues pour les logiciels malveillants dans la suite de tests de construction, qui analyse les images système. Google Play Protect détecte également les logiciels malveillants. Rien n'indique que ce logiciel malveillant se trouve ou s'est trouvé dans le Google Play Store. Comme toujours, nous recommandons aux utilisateurs de s'assurer qu'ils utilisent la dernière version d'Android.
