Discussion :

[Hinault Romaric]

Android : une faille permet de transformer les applications légitimes en chevaux de Troie
99 % de terminaux sous l’OS affectés

Les chercheurs en sécurité du cabinet spécialisé dans la sécurité mobile BlueBox ont découvert une faille critique dans Android.

Cette vulnérabilité touche les versions d’Android sorties ces quatre dernières années (depuis Android 1.6 – Donut), ce qui représente 99 % de smarphones sous l’OS mobile.

Elle peut être exploitée par un pirate pour modifier le code d’un APK (package d’une application Android) légitime, sans casser sa signature cryptographique. Le pirate peut alors modifier n’importe quelle application légitime et la transformer en un cheval de Troie qui pourra être utilisé pour dérober les données d’un utilisateur (e-mail, SMS, documents, etc.), récupérer tous les mots de passe des services qui ont été stockés ou contrôler totalement son smartphone.

La faille proviendrait des différences dans la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature.

Bluebox prétend avoir informé Google sur l’exploit depuis février dernier, et que la firme aurait transféré l’information aux constructeurs. Mais à cause de la fragmentation de la plateforme et du retard des constructeurs dans la publication des mises à jour, un nombre important d’utilisateurs sont encore exposés.

Les détails sur la faille seront présentés lors de la conférence sur la sécurité Black Hat de Las Vegas, qui aura lieu à la fin de ce mois.

Bluebox conseille aux utilisateurs d’éviter les galeries d’applications non officielles et d’installer les applications uniquement à partir de Google Play, après avoir identifié l’éditeur.


Source : Bluebox


Et vous ?

Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?

[e101mk2]

Hum, c'est bien bizard qu'elle soit découverte que maintenant. Certain téléphone ne reçoit aucune maj depuis longtemps, ils ont du coup l'obligation de faire attention. Pour ma part, je pense que les constructeur onleur faute. Ils font tous la course au mobile les plus performants en oubliant les anciens modèle qui sont loin d'être obsolette. Sachant que sa concerne énormément de mobile, ils ont trop de pain sur la planche, et je pense guère que tous auront la maj...
Et si on est déjà infectée, comment éradique le cheval?

[Bestel74]

Qu’en pensez-vous ? Un problème de plus à mettre sur le dos des constructeurs qui tardent à publier les correctifs ?

Bof... Tant que le serveur "repository" n'est pas piraté la faille est bof, l'utilisateur qui n'utilise pas le google play est bof aussi, tout est bof

La réactivité n'est pas horrible, au vue de ce qu'il faut faire pour exploiter la faille ^^ non ?

[lochnar]

<troll>
C'est pas une faille, c'est la backdoor pour la NSA...
</troll>

[transgohan]

J'ai lu le billet mais je cherche toujours à partir de quelle version d'Android ce défaut est corrigé...
Pourtant on croit lire que Google a averti les constructeurs en leur demandant de réagir pour mettre à disposition la mise à jour.
Mais quelle est cette mise à jour fantôme ?

@lochnar : Merci tu as fait ma journée !

[Model_T101]

C'est Android le cheval de troie, pas besoin d'application, il suffit de lire les conditions de Google

[pierre++]

Il existe énormément d'applications Android qui demandent des autorisations sans rapport avec les besoins de ces mêmes applications et très peu d'utilitaires permettant de surveiller ce que font réellement ces applications.
Si je me souviens bien google se réserve aussi le droit de récupérer toute les informations contenues dans le mobile (je suis sûr d'avoir lu ça quelque part, à vérifier néanmoins).
En gros en utilisant un mobile Android on est de toute façon sur écoute en permanence.
Je me trompe?

[nicroman]

Non... tu ne te trompe pas.... sauf que tu peux enlever "Android":

"En gros en utilisant un mobile on est de toute façon sur écoute en permanence."

La question n'est pas là...
On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.

C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....

[pierre++]

On parle d'une faille d'Android qui permet de faire croire à l'utilisateur qu'une application modifiée est bien correctement signée par le bon éditeur. Cette faille concerne les mises à jour constructeur si j'ai bien compris (puisqu'il faut une application système), et il faut donc que le serveur du constructeur soit compromis.
C'est quand même sans fin comme histoire... parce que bon, on peut alors imaginer que le serveur de google-play est compromis, et qu'il livre que des virus ....

Effectivement ce n'est pas clair, si google-play fait bien son travail et que les utilisateurs ne reçoivent les mises à jour qu'à partir des serveurs googles la "faille" ne devrait pas être exploitable.
De mon côté je me demande à chaque fois que j'installe une appli Android si je ne suis pas en train d'installer un cheval de Troie tellement les autorisations à donner me semblent exagérées.

[Hinault Romaric]

Android : Google publie un correctif pour la vulnérabilité
touchant 99 % des smartphones sous l’OS

Mise à jour du 09/07/13

Google vient de publier un correctif d’urgence pour la faille de sécurité dévoilée la semaine dernière dans Android.

Présentée par le cabinet de sécurité Bluebox, cette faille touche près de 99 % de smartphones sous l’OS mobile de Google.

La vulnérabilité se situe au niveau de la façon dont la cryptographie des applications Android est vérifiée. Ce qui offre la possibilité de modifier un APK et d'intégrer un code malveillant sans casser sa signature. Les pirates peuvent donc l’exploiter pour transformer des applications officielles en Cheval de Troie pour dérober les données des utilisateurs ou contrôler leur terminal.

Le correctif mis au point par Google a été transmis aux constructeurs d’appareils, selon ZDNet.com, qui devront le répercuter sur les smartphones des consommateurs.

Certains constructeurs comme Samsung ont déjà commencé avec le déploiement de la mise à jour sur les périphériques Android, d’après le responsable de la communication chez Google, qui a expliqué qu’aucune preuve d’exploitation dans Google Play ou autres galeries d’applications n’a été découverte par ses outils d’analyse de sécurité.

Et vous ?

Avez-vous déjà reçu la mise à jour ?

[nirgal76]

Bon courage à ceux qui fonctionne avec une ROM opérateur, sont pas prêt d'avoir la mise à jour.

[Mr_Exal]

Avez-vous déjà reçu la mise à jour ?

Non, mais je sens que je vais l'appliquer moi même en passant sur Paranoid.

[YoyoS]

Si je comprends bien la chose, cela ne change rien pour ceux qui autorisent déjà les archives apk ne provenant pas du Google Play sur leur téléphone.

Donc n'ayez pas peur. Après la mise à jour, vous pourrez toujours être infecté si vous choisissez d'installer n'importe quoi sur votre téléphone.

[tontonnux]

Avez-vous déjà reçu la mise à jour ?

Non, et il est même quasiment certain que je ne l'aurai pas non plus avec la prochaine mise à jour HTC qui est censée arriver sous peu... (pour HTC one)

D'ici la fin de l'année, je dirai au pif que moins de 10% des mobiles android auront ce patch...

Il faut absolument obliger les constructeurs à faire ces mise à jour de sécurité... L'Europe devrait faire quelque chose...

[Mr_Exal]

Si je comprends bien la chose, cela ne change rien pour ceux qui autorisent déjà les archives apk ne provenant pas du Google Play sur leur téléphone.

Donc n'ayez pas peur. Après la mise à jour, vous pourrez toujours être infecté si vous choisissez d'installer n'importe quoi sur votre téléphone.

Sachant que 90% des utilisateurs ne connaissent ni cette option et ne sait pas ce qu'est une apk on peut en déduire que les 10% restant sont des utilisateurs avertis qui n'installeront pas n'importe quoi non plus. (chiffres sortis de mon chapeau magique).

[demenvil]

[..]cette faille touche près de 99 % de smartphones sous l’OS mobile de Google [..]

Bim la poutre que viens de manger Google là ! ^^

[kitachi]

Le correctif mis au point par Google a été transmis aux constructeurs d’appareils[...]

Le patch sera intégré dans la version 4.3 d'Android pour les Nexus ?
Ou vont-ils appliquer le correctif dans une mise à jour dédiée ?

[MRick]

Cet article est intéressant, mais il manque une information essentielle :

Comment vérifier si on a bien le correctif ?

Quelles versions d'Android sont corrigées ?

Et vous ?
Avez-vous déjà reçu la mise à jour ?

Et bien je dois dire que je n'en sais fichtre rien !

C'est bien ça qui m'inquiète, j'ai lu des informations contradictoires à droite et à gauche. Selon certaines sources j'ai déjà le correctif depuis quelques mois, et selon d'autre, je pense que je n'ai pas encore le correctif.

Pour info, j'ai un Nexus 4, avec Android 4.2.2, j'ai vérifié les mises à jours il y a quelques minutes et Google me dit que je suis à jour.

J'ai aussi un (vieux) Samsung Galaxy S sous Gingerbread, et je suis à peu près sûr qu'il n'est pas à jour. Je voudrais bien savoir si il existe un moyen de le mettre à jour sans passer pas une ré-installation complète de ROM non-officielle.

[Hinault Romaric]

Android : publication d’un exploit pour la faille touchant 99 % de terminaux
les constructeurs doivent se dépêcher pour déployer le correctif de Google

Google a publié hier aux constructeurs d’appareils un correctif pour une faille de sécurité touchant 99 % de smartphones sous l’OS mobile Android.

La faille peut être exploitée pour transformer des applications officielles en Cheval de Troie pour dérober les données des utilisateurs ou contrôler leur terminal.

Au vu de la lenteur des constructeurs pour déployer les mises à jour d’Android, il est peu probable que les utilisateurs reçoivent rapidement ce correctif.

Ceux-ci pouvaient néanmoins se réconforter du fait que la faille ne soit pas activement exploitée, car Google a déclaré qu’il n’avait découvert aucune preuve d’exploitation sur Google Play.

Symantec pour sa part, note qu’après l’analyse de quatre millions d’applications avec sa solution Norton Mobile Insight, aucune utilisation de façon malveillante de la faille n’a été découverte. Ce qui risque cependant de changer dans les jours à venir.

Un chercheur en sécurité a mis au point et publié sur GitHub une preuve de réalisation (proof of concept) qui permet de faire passer une application pour une autre.

Le code de l’exploit utilise l’outil « apktool » pour briser un fichier « APK » en fichiers lisibles que l’utilisateur peut modifier au besoin. Il crée ensuite un nouveau fichier APK avec le contenu de l’APK d’origine et les modifications apportées par l’utilisateur.

Un pirate pourrait donc récupérer une application légitime, exploiter ce PoC pour modifier l’application afin d’introduire un code malveillant et la régénérer sans toutefois briser sa signature de vérification.

Plus qu’à espérer que les constructeurs vont procéder rapidement au déploiement de la mise à jour auprès des utilisateurs.

Le code de l'exploit sur GitHub

Source : Description de l'exploit, Symantec

[nicroman]

Oui... enfin il faut encore l'uploader sur le serveur google-play... Avec le même "package-name", donc avoir accès au compte du créateur originel et/ou accès dérobé aux serveurs google ....

Cela fait quand même beaucoup d'exploits pour utiliser une "faille" de l'apktools.


Après, il y a toujours les "unchecked" repositories, mais là, c'est de base très dangereux d'y chopper une appli. Donc cela ne change rien !