Android a été aux premières loges de la conférence de sécurité Black Hat qui se tenait la semaine dernière à Las Vegas. Après la faille Stagefright qui permet d’attaquer un smartphone Android à l’aide d’un simple MMS, c’est CheckPoint qui a tiré la sonnette d’alarme. Cette fois, le problème concerne les services d’assistance à distance installés par les constructeurs de terminaux, les RST (Remote Support Tools). Elle est donc indépendante de l’OS de Google en lui-même, même si ce dernier est concerné par ricochet.
Qualifié de « Certifi-gate » par les équipes de CheckPoint, la faille s’appuie sur un ensemble de vulnérabilités trouvées à travers les applications de RST mobiles (mRST) et leurs implémentations dans l’appareil. Les applications de support permettent à des opérateurs mobiles ou aux départements IT des entreprises de prendre le contrôle de l’appareil à distance pour offrir des services d’assistance personnalisés. Ces applications sont généralement le fait d’éditeurs tiers et implémentées par le constructeur (OEM), qui y ajoute ses propres plug-ins. C’est cette implémentation qui ne suit pas toujours les règles de base de sécurité.
Après avoir examiné les méthodes par lesquelles les composants mRST de confiance valident les applications de support, les chercheurs ont ainsi « découvert de nombreuses implémentations défectueuses exploitables. Cela permet à des attaquants de plates-formes mobiles de passer pour l’assistant distant original afin d’accéder aux privilèges système sur l’appareil », indique CheckPoint dans son billet de blog. En résumé, l’éditeur de sécurité estime que des centaines de millions d’appareils Android sont vulnérables.
Les tests menés par CheckPoint ont abouti à la découverte de brèches dans TeamViewer Quick Support, RemoteCare de CommuniTake, RSupport et AnySupport, indique ITespresso.fr. Ces applications sont touchées par des vulnérabilités « très faciles à exploiter » par les pirates qui pourront alors accéder aux données internes (e-mails, contacts, agenda…), suivre les déplacements de l’appareil, activer le micro pour enregistrer les conversations, etc.
Ces applications étant indépendantes de l’OS hôte, Certifi-gate ne peut pas être corrigé par une simple mise à jour Android de Google. La tâche incombe aux constructeurs concernés qui doivent distribuer la mise à jour aux utilisateurs finaux, soit directement (par les airs), soit par l’intermédiaire des opérateurs. Un processus souvent long à mettre en place. En attendant, les utilisateurs pourront se rassurer, ou au contraire s’inquiéter, en vérifiant leur appareil à l’aide du Certifi-gate Scanner que CheckPoint rend disponible sur Google Play.
Lire également
Des modems 4G Huawei exposent des PC portables aux pirates
Black Hat : les cartes SIM 3G/4G craquées en 10 minutes
Un bug dans Android plonge les terminaux dans le coma
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement de BNP Paribas utilise l'IA pour proposer des stratégies d’investissement individualisées, en…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…