Une faille dans Android valide des malwares déguisés en apps

Un bug d’installation sous Android permet de détourner des applications légitimes par des malwares au moment de leur installation.

Android est frappé d’une nouvelle vulnérabilité. Et pas des moindres. Elle est baptisée « Android Installer Hijacking » par la société de sécurité Palo Alto Networks. Sa découverte date de plus d’un an, en janvier 2014, la faille pourrait toucher aujourd’hui près de la moitié (49,5%) des utilisateurs des smartphones équipés de la plate-forme de Google dont les versions Android 2.3, 4.0.3, 4.0.4, 4.1.x, et 4.2.x sont affectées. D’où la volonté de l’expert en sécurité de la rendre publique aujourd’hui.

La vulnérabilité vient du bug Time of check to time of use (Toctou) causé par la différence entre le moment où les conditions de vérifications d’un usage sont validées (commencer à saisir une requête dans un formulaire web par exemple) et l’utilisation du résultat de cette vérification si les conditions d’usages ont changées entre temps (un administrateur qui ferme la page du formulaire). Selon Palo Alto, ce bug permet à un attaquant de détourner une application Android légitime pour la remplacer par un malware, sans que l’utilisateur ne s’en rende compte. En d’autres termes, on croit installer une version d’Angry Birds et l’on se retrouve avec une application lampe de poche truffée de fonctions malveillantes qui pourront alors accéder à l’ensemble des contenus du terminal, y compris les identifiants, mot de passe et autres données sensibles.

Les applications Google Play épargnées

Schématiquement, entre le moment où l’on télécharge une application (fichier APK) et celui où celle-ci est réellement installée déclenchée par l’invite de validation du logiciel à installer, il peut y avoir une modification totalement invisible aux yeux de l’utilisateur. La faute au service PackageInstaller du système qui ne vérifie pas que l’application réellement installée (Time of use) est bien celle que l’utilisateur a sélectionnée (Time of check). Une aubaine pour les pirates qui se débrouillent alors pour détourner (hijacking) le fichier APK initial par le leur.

Néanmoins, seules les applications issues des stores alternatifs à Google Play sont exploitables pour mener l’attaque à bien. Y compris les magasins applicatifs qui ont pignon sur rue numérique comme l’Amazon Appstore. En effet, les fichiers APK du store de Google sont systématiquement installés dans un espace sécurisé du système contrairement aux autres fichiers APK généralement stockés dans un répertoire non protégé (la carte mémoire, par exemple). C’est depuis cet espace non sécurisé, et non vérifié par le système au moment de l’installation des applications, que le hacker va mener son opération de piratage à bien. Et généralement depuis une application précédemment installée, considérée comme légitime par le système.

La solution ? Migrer vers Android 4.4

En réponse à la découverte de Palo Alto, Android déclare avoir corrigé la faille système avec les mises à jour 4.3 et 4.4 de la plate-forme. Néanmoins, l’entreprise de sécurité prévient que certains constructeurs n’intègrent pas encore la vérification par hash ajoutée dans le correctif pour Android 4.3. Samsung et Amazon déclarent avoir corrigé leurs smartphones sous Android 4.3 à savoir les Galaxy S4 et Fire OS respectivement. A vérifier que les autres fabricants en fassent autant. L’idéal étant de migrer vers une version 4.4 ou plus d’Android. Mais toutes les configurations matérielles ne le permettent pas. De son côté, Palo Alto propose son application Hijacking Scanner pour vérifier la présence d’applications vulnérables sur son smartphone. A télécharger depuis le Google Play, il va sans dire.


Lire également
Une application Android sur 10 victime de Freak
Une faille du WiFi d’Android dévoile les données personnelles
Sécurité : Google subventionne la recherche de vulnérabilités