Une importante faille de sécurité a été trouvée au sein d’Android. Elle pourrait représenter le saint Graal des pirates car cette brèche, vieille de quatre ans, concerne pratiquement toutes les versions du système mobile de Google.
Crédits : greyweed, licence Creative Commons
Le saint Graal de la faille de sécurité
La plateforme Android écrase littéralement la concurrence en volume de ventes et en parts de marché, grâce notamment à la pluralité des modèles proposés par les constructeurs. Depuis plusieurs années, la situation a abouti à un marché fragmenté, les smartphones et tablettes étant proposés avec des versions différentes qui ne sont pas forcément mises à jour, même si le problème est beaucoup moins présent avec les appareils récents. De fait, si une faille commune à toutes les versions était détectée, elle mettrait en danger de très nombreux utilisateurs.
C’est précisément le cas avec la découverte faite par la société Bluebox : une brèche de sécurité capable de toucher 99 % des appareils Android à cause de son âge plus que vénérable. La faille remonte au moins jusqu’à Android 1.6, autrement dit une version vieille de quatre ans. Depuis, 900 millions d’appareils ont été vendus avec le système selon Bluebox, ce qui permet aux pirates une exploitation dans une échelle sans précédent.
La faille en question est particulièrement grave : elle permet la modification d’un paquet d’application (APK) sans que cela ne modifie la signature électronique. En clair, une application parfaitement légitime pourrait être trafiquée pour la rendre « vérolée » sans que personne ne puisse détecter le changement. La boutique d’applications ne verrait pas la différence car la signature électronique serait toujours la même. Or, cette même signature n’est censée pouvoir être faite que par l’éditeur authentique de l’application.
Des privilèges dépendant de l'application visée
La situation est pour Bluebox encore plus complexe lorsque l’on considère les applications fournies par les constructeurs tels que HTC, Samsung, Motorola et ainsi de suite. Ces applications maison possèdent le plus souvent des privilèges élevés car elles sont parfois spécifiques à un matériel donné. On pensera par exemple à HTC et à Beat Music. Ce peut être le cas également avec celles qui sont fournies par les partenaires du constructeur, comme Cisco avec sa solution VPN AnyConnect. À cause des privilèges inhérents à ces applications, un malware pourrait avoir accès à des privilèges élevés lui donnant tout pouvoir sur le système.
Ce contrôle pourra s’exercer de deux manières :
- Lire n’importe quel type de données stockées sur le téléphone : les SMS, les emails, les informations stockées par les applications, les pièces-jointes, les identifiants des différents comptes, etc.
- Agir : passer des appels arbitrairement, envoyer des SMS, utiliser la caméra, enregistrer le contenu des appels en direct…
Le problème est qu’il faudrait maintenant que tous les appareils soient mis à jour. Et là, évidemment, il existe un pépin de taille : de nombreux appareils ne sont plus supportés, tout en pouvant encore accéder à Google Play. On pense notamment à la myriade de modèles restés bloqués à Android 2.3 alors que beaucoup d’applications demandent au minimum cette version pour fonctionner, les rendant ainsi compatibles. On peut par exemple prendre le cas de l’application Facebook qui serait modifiée et dont la clé de signature ne serait pas modifiée, empêchant Android de voir la différence et laissant alors le malware agir à sa guise.
La capture ci-dessus montre comment Bluebox a pu utiliser les privilèges élevés d’une application fournie avec un appareil HTC pour modifier la version du Baseband, une information qui normalement n’est donnée que depuis le firmware et qui n’est donc pas modifiable.
Bluebox indique que les détails plus complets de la faille seront révélés lors de la prochaine conférence Black Hat qui se tiendra du 27 juillet au 1er août à Las Vegas. La société de sécurité indique cependant que les informations ont été transmises confidentiellement à Google en février dernier et que c’est désormais aux constructeurs de réagir en proposant de nouveaux firmwares.
En attendant, les utilisateurs devraient faire très attention à la source d’installation de leurs applications. Dans les entreprises, les stratégies BYOD (Bring your own device) devraient être complétées d’une obligation de mettre à jour les appareils.
