Une nouvelle faille zero-day divulguée dans Android OS
Les détails d’une vulnérabilité de type “zero-day” affectant le système d’exploitation mobile Android ont été publiés en ligne le 4 septembre. La vulnérabilité réside dans la façon dont le pilote Video for Linux (V4L2) inclus avec l’OS Android gère les données d’entrée. Cela peut permettre à un attaquant d’élever ses droits jusqu’à l’accès root.
La bonne nouvelle cependant c’est que cette vulnérabilité – classée comme faille permettant une escalade des privilèges – ne peut pas être exploitée à distance. Les attaquants ont besoin d’un accès local, ce qui signifie qu’ils doivent placer un code malveillant sur l’appareil ciblé au préalable.
Cette faille zero day ne peut pas être utilisé pour pénétrer dans les téléphones des utilisateurs, mais elle peut cependant être utilisée pour rendre les piratages bien pires, en permettant aux attaquants de prendre le contrôle total d’un appareil après une infection initiale.
Cette Zero-day peut être facilement militarisée
L’un des cas de figure où cette faille “zero-day” peut s’avérer utile est celui où les auteurs de logiciels malveillants l’inclut dans des applications malveillantes qu’ils distribuent via le Play Store officiel ou par l’intermédiaire de boutiques d’applications tierces.
Après que l’utilisateur ait installé l’une de ces applications malveillantes, la faille zero-day peut accorder l’accès root à l’application malveillante, et l’application peut alors effectuer tout un tas d’opérations – voler les données utilisateur, télécharger d’autres applications, etc.
C’est ainsi que toutes les failles qui permettent des escalades de privilège sont normalement utilisées sur les périphériques Android.
Certains experts en sécurité pourraient minimiser l’importance de cette faille zero day — qui n’a pas encore reçu de numéro CVE — mais les vulnérabilités d’escalade des privilèges sont très faciles à militariser sur l’écosystème Android, contrairement à la plupart des autres systèmes d’exploitation, où elles ne sont pas considérées comme une priorité.
Par exemple, de nos jours, de nombreuses applications Android malveillantes sont livrées avec l’exploit d’escalade de privilèges Dirty COW qui permet aux applications d’obtenir un accès root sur les anciens smartphones Android.
Les développeurs Android ont été avertis, mais n’ont pas réussi à délivrer un correctif
Cependant, malgré un historique d’applications malveillantes utilisant des failles qui autorisent des escalades de privilèges pour obtenir l’accès root, les responsables du projet Open Source Android (AOSP) n’ont pas corrigé celui-ci.
Ils avaient tout le temps qu’il leur fallait. Depuis que le problème a été signalé pour la première fois à l’AOSP en mars de cette année, après avoir été découvert par deux chercheurs en sécurité de Trend Micro, rien n’a semble t-il été fait. Malgré l’accusé de réception du rapport de bug et la promesse d’un correctif, le correctif n’est jamais arrivé.
Hier, les chercheurs de Trend Micro ont rendu publiques leurs conclusions après la publication par Google du bulletin de sécurité Android de septembre 2019, qui ne comportait pas de correctif pour leur faille. Pour l’instant, il n’existe donc pas de solution facile pour empêcher les applications malveillantes d’exploiter ce problème.
Article “Zero-day disclosed in Android OS” traduit et adapté par ZDNet.fr