Discussion :

[Michael Guilloux]

« Android WiFi-Direct DoS » : Google ne compte pas corriger la vulnérabilité dans sa plateforme mobile
La sévérité du bug est classée faible

Google est finalement réputé pour négliger ses propres bugs, alors qu'il n'hésite pas à divulguer les vulnérabilités estimées de sévérité grave qui affectent les autres plateformes.

Après la vulnérabilité WebView délaissée, Google estime qu'une autre vulnérabilité affectant des dispositifs Android n'est pas si grave pour nécessiter un correctif.

En effet, Core Security estime qu'il y a un bug dans la mise en œuvre de WiFi Direct dans Android. Ce bug, s'il est exploité, permettra à un attaquant de forcer le redémarrage d'un dispositif. Mais ,Google ne serait pas convaincu de sa gravité et ne montre pas beaucoup d'intérêt dans le déploiement d'un patch.

Selon un mail de Coresec sur Seclists, le bug est dans la fonction wpa_supplicant qui assure l'interface entre le conducteur sans fil et la plateforme Android.

La vulnérabilité est exploitable à distance et permet à des attaquants de mener des dénis de service en exploitant le WiFi Direct. En effet, cette vulnérabilité se produit alors que l'appareil Android est en train rechercher d'autres dispositifs WiFi Direct compatibles (les autres téléphones, imprimantes, appareils photo, etc.).

L'attaquant pourrait, en ce moment, envoyer des données pour forcer le sous-système Dalvik à redémarrer en raison d'une exception non gérée sur la classe WiFiMonitor.

Pour que la vulnérabilité soit exploitée, il faut donc que l'appareil soit à la recherche de dispositifs, et l'attaquant doit être à proximité de manière à envoyer les données à la cible. Par ailleurs, son impact est limité à un redémarrage.

Sans doute pour ces raisons, Google a classé la vulnérabilité comme étant de faible sévérité, et l'équipe de sécurité Android a indiqué plusieurs fois qu'elle n'a pas de calendrier pour un correctif.

En ce qui concerne les périphériques vulnérables, jusqu'à présent, Core Security a confirmé le bug sur les appareils Nexus 4 et 5 fonctionnant sous Android 4.4.4, les appareils LG D806 et Samsung SM-T310 sous Android 4.2.2 ainsi que Motorola RAZR HD sous Android 4.1.2. D'autres dispositifs pourraient également être vulnérables, mais les dispositifs exécutant Android 5.0.1 et 5.0.2 ne le sont pas selon Core Security.

En attendant que Google corrige cette vulnérabilité, les mesures d'atténuation conseillées sont d'éviter l'utilisation de WiFi Direct ou de passer à des versions non vulnérables d'Android, c'est-à-dire Android 5.0 Lollipop.

Source : Core Security

Et vous ?

Qu’en pensez-vous ?

[transgohan]

J'en pense que je suis d'accord avec leur conclusion.
On a beau ne pas être partisan Google on peut difficilement qualifier ce bug d'inquiétant...

[DarkHylian]

J'en pense que je suis d'accord avec leur conclusion.
On a beau ne pas être partisan Google on peut difficilement qualifier ce bug d'inquiétant...

C'est un bug ! Une négligence dans le code, qu'il y ait souci de sécurité ou non, ça reste un bug.
Que ce soit grave ou non, c'est à corriger. Sinon, demain, dans ma boite, je néglige un try/catch sur un appel faisant un throw, et si on me demande, je dirais "ce n'est pas grave, ça fait juste que redémarrer l'appli". (c'est claire que ça embête pas l'utilisateur)

Nb au passage : faire redémarrer Dalvik, c'est redémarrer toutes les applis qui sont lancées à ce moment (voir les faire crasher dégueulassement) et qui tournent via Dalvik.

Après, si ça ne fait redémarrer QUE Dalvik, sans toucher ART, ils ont qu'à dire qu'ils ne corrigent pas car Dalvik sera abandonné très prochainement. (mais même ça n'est pas une bonne justification)

[transgohan]

C'est un bug on est d'accord, comme tout bug il est priorisé.
Car ce n'est absolument pas le seul bug connu...

Je suppose que toi aussi sur le logiciel que tu développes il y a des bugs et qu'à la date de ce message ils ne sont pas tous corrigés.
(C'est inadmissible ça ! un bug se doit d'être corrigé !!! )
Bref... On priorise toujours et donc il y a des bugs qui deviennent non préoccupants, par souci de stratégie ou bien d'impact.
Rien de bien nouveau donc.

[jumpers]

D'autres dispositifs pourraient également être vulnérables, mais les dispositifs exécutant Android 5.0.1 et 5.0.2 ne le sont pas selon Core Security.

En attendant que Google corrige cette vulnérabilité, les mesures d'atténuation conseillées sont d'éviter l'utilisation de WiFi Direct ou de passer à des versions non vulnérables d'Android, c'est-à-dire Android 5.0 Lollipop.

Lollipop tournant uniquement sous ART, c'est tout a fait normal que Dalvik ne sait pas être touché...

pour attaquer, faut quand même des conditions relativement précises, tout le monde n'utilise pas WIFI Direct, un patch serait bien (pour les Nexus), mais LG et Samsung ne sortiront jamais de ROMS corrigées, du coup, je peux comprendre le "a quoi bon se casser le cul ?!?"