StrandHogg : les vieilles failles ont la peau dure

Les failles qui écopent d’un joli petit nom et d’un logo n’ont plus vraiment la cote : si Heartbleed avait marqué à l’époque les esprits, aujourd’hui les efforts de marketing autour des vulnérabilités suscitent plutôt la méfiance des chercheurs en sécurité. StrandHogg n’échappe pas à cette tendance : découverte par les sociétés Promon et Wultra, cette vulnérabilité affectant Android a été utilisée dans le cadre d’une attaque visant plusieurs établissements bancaires. La vulnérabilité était en effet utilisée par des applications compromises afin d’installer des malwares bancaires sur les téléphones de la cible.

« Cette vulnérabilité permet à une application malveillante de demander l’accès à des permissions en se faisant passer pour une application légitime installée par l’utilisateur », expliquent les chercheurs de Promon sur leur page dédiée à la vulnérabilité. Celle-ci repose principalement sur une faiblesse de sécurité identifiée en 2015 au sein du composant TaskAffinity d’Android et qui exploite la gestion du multitâche pour tromper l’utilisateur, en utilisant des erreurs d’affichage de l’interface Android afin de récupérer des permissions d’accès.

Dans les cas d’exploitation de cette vulnérabilité mentionnés par Promon, les attaquants ont exploité des applications qui téléchargeaient une autre application malveillante et avaient recours à cette faille pour faire passer leurs demandes de permission sans que l’utilisateur ne sache exactement à quoi il consentait.

Rien de nouveau sous le soleil ?

La faille Strandhogg affecte toutes les versions d’Android, et Google ne semble pas pressé de la corriger. Et pour cause : certains hésitent à qualifier Strandhogg de nouvelle faille. Sur Twitter, le chercheur français connu sous le pseudonyme d’Elliott Anderson a ainsi publié un thread rappelant que le fonctionnement de cette vulnérabilité est connu de longue date et que les découvertes de Promon n’ont rien d’inédit. Un autre chercheur tire également le même constat.

La seule véritable découverte de Promon et Wultra, c’est peut-être le fait que des cybercriminels ont exploité cette technique lors d’attaques. Wultra a en effet identifié une application malveillante exploitant la faille, et Promon est ensuite parvenue à identifier 36 applications disponibles qui exploitaient cette vulnérabilité, dans certains cas afin de diffuser des malwares bancaires. Selon la société Lookout, qui a collaboré avec les chercheurs de Wultra et Promon, aucune de ces applications n’était disponible sur le Google Play Store.

Pour le reste, StrandHogg n’a rien de nouveau si ce n’est un nom et un logo, mais les nombreuses reprises médiatiques autour de l’affaire conduiront peut-être Google à regarder d’un nouvel œil le comportement de son OS et à corriger celui-ci. Dans une réaction rapportée par Ars Technica, les porte-parole de Google expliquent « être au courant des recherches menées par ces chercheurs et avoir suspendu les applications potentiellement malveillantes identifiées. »