Une importante faille 0-day dans Chrome pour Android

Mieux vaut utiliser autre chose pour l'instant 53
En bref
image dediée
Sécurité
Vincent Hermann

Lors de l’évènement MobilePwn2Own de la conférence PacSec qui se tenait à Tokyo, un chercheur a réussi à prendre le contrôle d’un appareil sous Android 6.0 en exploitant une unique faille. Le découvreur a indiqué que la brèche, qui s’appuie sur JavaScript, peut facilement être exploitée sur tout type d’appareil.

En fin de semaine dernière avait lieu la conférence PacSec à Tokyo. À cette occasion, des chercheurs étaient réunis pour l’évènement MobilePwn2Own qui, comme pour Pwn2Own, a pour but de chercher et exploiter des failles pour faire la démonstration d’une prise de contrôle d’appareil. La différence avec l’édition « classique » est évidemment qu’il concerne ici les plateformes mobiles. Et malheureusement pour Android, une importante faille dans Chrome permet d’exécuter du code arbitraire à distance.

Une faille 0-day dans la machine virtuelle JavaScript

Guang Gong, chercheur en sécurité pour la société Quihoo 360, a particulièrement marqué les esprits en prenant le contrôle d’un Nexus 6 de Google, équipé du dernier Android 6.0 alias Marshmallow. Il a pu installer à distance une application choisie arbitrairement (en l’occurrence BMX Bike), donc sans toucher à l’appareil. Pour ce faire, il s’est servi d’une faille résidant dans Chrome, plus particulièrement dans son moteur Javascript.

Comme l’indique à The Register l’organisateur de la conférence PacSec, Dragos Ruiu, la démonstration réalisée par Gong était remarquable : « Le plus impressionnant avec cette exploitation est qu’elle se réalise d’une traite. La plupart des gens aujourd’hui doivent exploiter plusieurs failles de sécurité pour obtenir un accès avec privilège et charger des applications sans interactions ». Toujours selon le responsable, la faille peut très facilement être adaptée pour tous les appareils Android où une version récente de Chrome (la dernière est vulnérable) est installée.

Le fait que la vulnérabilité réside dans le moteur JavaScript rend la faille évidemment très facile à exploiter. Il suffit de leurrer l’utilisateur et de l’amener à cliquer sur un lien menant vers un site malveillant. De là, la brèche va permettre de déclencher des actions à distance, jusqu’à l’installation d’une application sans que l’utilisateur ait son mot à dire. La faille permet également d’obtenir les droits root, ce qui permet à l’application d’être aussi malveillante qu’elle le souhaite,

On ne sait cependant pas exactement comment le chercheur s’y prend car s’il a fait la démonstration de sa technique, les détails n’ont pas été publiés et sont réservés aux organisateurs du concours, ainsi qu’à Google bien sûr.

Utiliser un autre navigateur en attendant que Chrome soit mis à jour

Un ingénieur de la firme de Mountain View était sur place, et on peut donc espérer qu’un correctif sera développé rapidement. Même si la faille est critique et particulièrement sérieuse, sa dangerosité reste moindre que celle de Stagefright. Dans les deux cas, les conséquences peuvent être catastrophiques, mais on parle ici d’une faille résidant dans un élément qui peut facilement être mis à jour, puisqu’il appartient à une application dépendant de la boutique Google Play.

En attendant, la solution la plus simple est d’utiliser un autre navigateur. Contrairement à une plateforme comme iOS, les butineurs peuvent embarquer leurs propres moteurs JavaScript et de rendu. Il est donc possible par exemple d’installer Firefox et de ne plus faire appel à la machine virtuelle JavaScript V8 livrée avec Chrome (et en fait souvent préinstallée sur les appareils Android). Cette recommandation est valable pour toutes les versions d’Android dès lors que Chrome est présent.


chargement
Chargement des commentaires...