Une faille Android permet de remplacer une application légitime par une autre

Une équipe de chercheurs d’IBM met en évidence une faille qui permet de prendre le contrôle total d’un smartphone Android à partir d’une application trompeuse.

Android se voit frappé d’une nouvelle vulnérabilité critique. Révélée à l’occasion de la conférence Woot’15 à Washington (les 10 et 11 août) par le chercheur Or Peles du laboratoire IBM X-Force dédié à la sécurité des applications, cette faille permet à un attaquant de remplacer une application du terminal affecté par une autre, lui accorder tous les privilèges d’administration et, à partir de là, de voler des données, contourner le modèle de sécurité SELinux (Security-Enhanced Linux) en en changeant les règles et même charger des modules malveillants dans le noyau.

« Ce que notre équipe a trouvé n’a pas encore été vu à l’œuvre, rassure le chercheur, mais elle montre qu’avec un ciblage précis et des outils, les applications malveillantes ont la capacité de déjouer [la vigilance] des utilisateurs les plus soucieux de sécurité. »

Ecrire dans la mémoire du système

C’est la façon dont Android gère la « sérialisation » du code (voir la définition de Wikipedia) qui pose problème. Le POC (proof of concept ou preuve de faisabilité) mis au point par les experts en sécurité s’attaque au processus system_server doté des privilèges d’administration et repose sur une manipulation de la mémoire du système. « Les vulnérabilités découvertes sont le résultat de la capacité de l’attaquant à contrôler les valeurs de pointeur lors de la ‘désérialisation’ objet dans l’espace de la mémoire des applications arbitraires, qui est alors utilisé par le code natif invoqué dans l’environnement d’exécution du ramasse-miette [le récupérateur des données allouées en mémoire et inutilisées, cf Wikipedia] », détaille Or Peles. Les chercheurs sont alors partis à la recherche d’une class de framework Android vulnérable et commune à l’ensemble de l’OS. L’heureuse élue est OpenSSLX509Certificate.

« Nous avons ensuite plongé dans le code natif, ce qui nous a montré que nous pouvons diminuer la valeur d’un nombre entier positif à une adresse arbitraire donné par le pointeur, poursuit le chercheur. En enchaînant la décrémentation et en poussant l’optimisation décrite dans le document de recherche, nous sommes parvenus à écrire dans la mémoire afin de parvenir à un remplacement de mémoire arbitraire, un morceau de code utilisé dans notre POC. » A noter que l’exploitation de la vulnérabilité nécessite donc l’installation d’une application malveillante sur le terminal, laquelle peut néanmoins se cacher derrière un jeu ou un utilitaire basique comme Flash Light.

55 % des smartphones Android concernés

Tous les smartphones sous Android 4.3 à 5.1 (Jelly Bean, KitKat et Lollipop) sont potentiellement affectés. Soit plus de la moitié (55 %) des appareils en service sous l’OS de Google. Les chercheurs d’IBM ont fait part aux équipes de Google, il y a plusieurs mois, de la vulnérabilité CVE-2015-3825. L’éditeur a corrigé les failles pour les versions 5.1, 5.0 et 4.4 de son OS. Mais, outre Android et les services du Play Store, les chercheurs ont également repéré la vulnérabilité dans des kits de développement dont Jumio, MetalO et MyScript, qui s’appuient tous sur le logiciel de développement SWIG.

Les vulnérabilités qui frappent Android semblent s’enchainer ces derniers temps. En fin de semaine dernière, CheckPoint pointait la faille Certifi-gate introduite par les services d’assistance à distance des terminaux. Fin juillet et toujours à l’occasion du Black Hat, Zimperium Mobile Labs dévoilait Stagefright, une attaque qui s’appuie sur un ensemble de brèches de sécurité pour prendre le contrôle du smartphone depuis un simple MMS. Google à réagi en instaurant notamment un programme de mise à jour mensuelle d’Android pour ses modèles Nexus. Une mise à jour régulière de l’OS dont il reste à espérer que les principaux constructeurs de smartphones et partenaires sauront s’inspirer pour maintenir la sécurité de leurs produits. Samsung et LG ont, notamment, annoncé des mises à jour prochaines.


Lire également :

Android, un OS mobile sacrément fragmenté
Un bug dans Android plonge les terminaux dans le coma
Hacking Team : la résurgence de RCS Android inquiète les experts

crédit photo : Twin Design / Shutterstock.com