Passer au contenu

Une faille permettait de prendre le contrôle de 99% des smartphones Android

Patchée depuis avril dernier, une faille, qui vient d’être rendue publique, donnait la possibilité à une personne mal intentionnée d’usurper l’identité d’une application approuvée pour voler des données ou prendre le contrôle d’Android.

Si le « sandbox » sonne aux oreilles profanes comme une promesse de vacances au soleil, la réalité est un peu moins festive mais tout aussi vitale. Les « sandbox », ou « bac à sable », sont des « environnements clos » dans lesquels les applications fonctionnent sans mettre en danger l’ensemble de l’édifice complexe qu’est un système d’exploitation. Android a évidemment adopté le sandbox pour faire en sorte que les applications tierces malintentionnées, qui seraient passées au travers de la surveillance du bouncer de Google, ne compromettent la sécurité des périphériques Android en accédant à des privilèges élevés ou à des informations auxquelles elles n’ont pas à avoir accès.
L’année dernière, d’ailleurs, pour la version 4.3 de son OS mobile, la société de Mountain View avait même renforcé son sandbox en musclant l’identification des applications grâce à leur UID, Unique Identification Number.

Usurpation d’identité

Or, des chercheurs en sécurité de la société Bluebox ont découvert une faille qui permettait justement d’usurper l’identité d’une application pour s’octroyer ses droits. Appelée « fake ID », cette vulnérabilité permet à une application malicieuse de se faire passer pour une application de confiance. Pour cela, les hackers mal intentionnés créent un faux code d’identification, une fausse signature, qui correspond à celui d’une application ayant une bonne réputation.
Elle peut ensuite sortir de son sandbox pour réaliser différentes actions malveillantes, comme insérer un cheval de Troie dans une application en se faisant passer pour un outil Adobe, accéder aux informations financières en faisant croire qu’elle est Google Wallet ou pire encore, prendre le contrôle total de l’appareil, via les extensions 3LM, que Google et Motorola ont brièvement possédé.
Dans les faits, selon Bluebox, tous les éléments qui utilisent à un moment ou à un autre les chaînes de signatures vérifiées d’une application Android étaient menacés.

99% d’appareils d’Android concernés

En avril dernier, les experts de Bluebox ont évidemment averti Google de la découverte de cette faille, qui répond au nom de bug 13678484 dans la nomenclature du géant américain. Un patch a été fourni par Google à tous ses partenaires. Selon Bluebox, 99% des périphériques sous Android étaient concernés. Un chiffre qui s’explique par le fait que ce problème date de janvier 2010, d’Android 2.1.
Google indiquait récemment au Financial Times qu’après « avoir été averti de cette faille, [ses équipes ont] sorti un correctif qui a été distribué à [ses] partenaires. » Par ailleurs, pour rassurer les utilisateurs, Google précisait avoir « surveillé toutes les applications soumises sur Google Play et [n’avoir] trouvé aucune trace d’une quelconque tentative d’utilisation de cette vulnérabilité ». Il est tout de même fortement recommandé de mettre à jour son smartphone pour bénéficier de la protection du patch mis à disposition.
Les chercheurs de Bluebox communiqueront davantage de détails sur leur découverte lors de la prochaine Black Hat USA, qui se tiendra du 2 au 7 août à Las Vegas.

A lire aussi :
Google renforce la sécurité d’Android
– 10/04/2014

Sources :
Blog de Bluebox
Financial Times

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Fontaine