Google à Samsung: arrêtez de jouer aux apprentis sorciers avec la sécurité Android
Selon Google Project Zero, les tentatives de Samsung visant à prévenir les attaques sur les téléphones Galaxy en modifiant le code du noyau ont fini par l’exposer à davantage de bugs de sécurité.
Non seulement les fabricants de smartphones comme Samsung créent-ils plus de vulnérabilités en ajoutant des pilotes personnalisés en aval ayant un accès matériel direct au noyau Linux d’Android, mais les vendeurs auraient intérêt à utiliser des fonctionnalités de sécurité qui existent déjà dans le noyau Linux, selon le chercheur de Project Zero Jann Horn.
C’est ce type d’erreur que Horn a trouvé dans le noyau Android du Samsung Galaxy A50. Mais comme il le note, ce que Samsung a fait est assez courant chez tous les fournisseurs de smartphones. Autrement dit, l’ajout de code que les développeurs du noyau Linux en amont n’ont pas examiné.
Même lorsque ces personnalisations sont destinées à ajouter de la sécurité à un appareil, elles introduisent également des bugs de sécurité. Les mesures d’amélioration de la sécurité du noyau prévues par Samsung ont introduit un bug de corruption de mémoire que Google a signalé à Samsung en novembre.
Il a été corrigé dans la mise à jour de février de Samsung pour les téléphones Galaxy. Le problème affecte le sous-système de sécurité supplémentaire de Samsung appelé PROCA ou Process Authenticator.
Samsung décrit le bug, SVE-2019-16132, comme un problème modéré composé de vulnérabilités d’utilisation après libération et de double libération au sein de PROCA qui permettent une “exécution possible de code arbitraire” sur certains appareils Galaxy exécutant Android 9.0 et 10.0.
Par ailleurs, la mise à jour de février inclut également un correctif pour une faille critique dans les «modules TEEGRIS». Ce terme fait référence à Trusted Execution Environment (TEE) sur les téléphones Galaxy plus récents, un module qui contient le système d’exploitation propriétaire TEE de Samsung. Le Galaxy S10 fait partie des appareils TEEGRIS.
Le mieux est souvent l’ennemi du bien
Mais le nouveau post de Horn rappelle les efforts d’Android pour réduire l’impact sur la sécurité des fournisseurs ajoutant du code unique au noyau.
“Android a réduit l’impact de ce type de code sur la sécurité en bloquant les processus qui ont accès aux pilotes de périphériques, qui sont souvent spécifiques au fournisseur”, explique Horn.
Ainsi, les nouveaux téléphones Android accèdent au matériel via des processus d’assistance dédiés, collectivement connus sous le nom de couche d’abstraction matérielle ( Hardware Abstraction Layer, HAL) dans Android. Mais Horn explique que les vendeurs modifient la façon dont les parties centrales du noyau Linux fonctionnent et sapent donc les efforts pour “réduire la surface d’attaque”.
Au lieu de cela, il suggère que les fabricants utilisent des fonctionnalités d’accès direct au matériel déjà prises en charge sous Linux, plutôt que de personnaliser le code du noyau Linux.
Horn dit que certaines des fonctionnalités personnalisées ajoutées par Samsung sont “inutiles” et n’affecteraient pas l’appareil si elles étaient supprimées.
Le chercheur pense que PROCA est destiné à restreindre un attaquant qui a déjà obtenu un accès en lecture et en écriture sur le noyau. Mais il estime que Samsung pourrait être plus efficace en faisant travailler ses équipes pour empêcher un attaquant d’obtenir cet accès en premier lieu.
“Je pense que les modifications du noyau spécifiques à chaque appareil seraient mieux intégrées soit en amont, soit déplacées dans des pilotes de l’espace utilisateur, où elles peuvent être implémentées dans des langages de programmation plus sûrs et/ou dans une sandbox. De cette façon, elles ne compliqueront pas les mises à jour des nouvelles versions du noyau “, a expliqué Horn.
Source : ZDNet.com
