Passer au contenu

Une faille dans Android facilitait le piratage de smartphones par NFC

Le service de transfert de données Android Beam n’affichait aucune alerte de sécurité lorsqu’il faisait passer des fichiers d’application APK. Cette brèche a été colmatée, mais des millions d’appareils restent probablement vulnérables.

Les malwares peuvent parfois emprunter des chemins peu communs. Le chercheur en sécurité Yakov Shafranovich en a trouvé un particulièrement tordu, à savoir la connexion NFC. Celle-ci est présente dans presque tous les smartphones Android récents, notamment pour effectuer des paiements sans contact. Mais une faille de sécurité, que Google a patché le mois dernier, permettait également de l’utiliser pour installer des malwares. Comment ? Grâce à Android Beam, une fonctionnalité qui s’appuie sur NFC et qui permet aux utilisateurs de transférer tout type de fichier, y compris des applicatifs APK.

Normalement, quand un tel fichier est téléchargé sur le smartphone, le système d’exploitation est censé afficher une alerte de sécurité. Celle-ci prévient l’utilisateur qu’il est en train d’installer une application provenant d’une source inconnue, ce qu’il faut généralement éviter. Mais avec Android Beam, il n’y avait pas d’alerte de sécurité. L’utilisateur était directement invité à valider l’installation, sans aucune précaution. Ce qui est donc très pratique pour tromper la vigilance de l’utilisateur.

Une liste blanche trop permissive

Cette faille, que Google a catalogué au niveau élevé, existe depuis le lancement d’Android 8 Oreo en 2017. Auparavant, l’alerte de sécurité étaient générale et s’appliquait à tous les téléchargements d’applis. Au niveau du paramétrage, l’utilisateur ne pouvait que l’activer ou la désactiver totalement. Depuis Android 8, il est possible de faire ce réglage pour chaque application, ce qui apporte beaucoup plus de finesse. D’après le chercheur, l’alerte est affichée par défaut pour toutes les applications sauf pour « les applications système signées par Google ». Celles-ci sont automatiquement inscrites sur une liste blanche. Or, les services NFC faisaient partie de cette liste blanche, ce qui était une erreur.

La publication d’un patch est évidemment une bonne chose, mais elle ne résout pas totalement le problème, car – comme chacun sait – les mises à jour Android se diffusent de manière très disparate dans l’écosystème. A ce jour, il y a donc certainement encore des millions d’appareils vulnérables à ce type d’attaque. Certes, le risque est limité par le fait qu’il faut se trouver à très faible distance de la l’appareil de la victime. Mais on pourrait imaginer des scénarios d’attaque avec des points d’infection situés dans l’espace public. Par exemple à proximité des terminaux de paiements ou d’un QR code. En attendant d’avoir le patch, mieux vaut donc désactiver le service Android Beam dans le menu de paramétrage NFC.

Source : Note de blog

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn