Canonical a publié récemment un bulletin de sécurité informant les utilisateurs que son système était victime d’une faille de sécurité. Une application l’exploitait, mais a été depuis supprimée et les utilisateurs ont été prévenus. L’éditeur indique qu’un correctif est en route.
Canonical informe les utilisateurs d’un souci de sécurité remonté récemment aux équipes. Une application baptisée « test.mmrow » avait un comportement spécifique : une fois lancée, elle exécutait un script (via une action de l’utilisateur) qui remplaçait l’écran de démarrage du téléphone et lui offrait par la suite un accès root, dont pouvait profiter un pirate.
Un correctif pour l'App Store, un autre pour les smartphones
L’examen a révélé qu’il existait une faille dans le système d’installation des applications. Elle est donc de type 0-day puisque déjà exploitée au moment de sa découverte. Elle est spécifique aux smartphones et ne se retrouve donc pas sur les ordinateurs clients, les serveurs, la version cloud ou la variante Core du système.
Le problème a rapidement été trouvé et durant la journée de jeudi dernier, les envois et réceptions depuis la boutique d’applications ont été suspendus pendant un court laps de temps afin que l’équipe de sécurité mette en place un correctif. Par ailleurs, toutes les applications présentes ont été analysées afin de vérifier que cette brèche n’était pas utilisée ailleurs. Ce qui n’empêche pas qu’un correctif est en cours de développement afin que les smartphones puissent court-circuiter localement ce type d’action dans le futur.
Pas de « kill switch » chez Canonical
L’application vérolée a évidemment été supprimée de la boutique. Elle n’a visiblement pas eu le temps de faire beaucoup de dégâts car le nombre de ses téléchargements se limite à 15, dont deux par des employés de Canonical qui enquêtaient sur le souci. Les utilisateurs ont été avertis directement par email et il leur a été demandé de supprimer directement l’application, l’App Store d’Ubuntu Phone ne possédant pas de « kill switch ».
On ne sait pas actuellement quand la mise à jour de sécurité sera disponible, mais Canonical a indiqué qu’elle communiquerait prochainement sur la suite des évènements.
