Table des matières:
- Qu'est-ce que Cloak & Dagger?
- Comment ça marche?
- Comment fonctionne l'exploit?
- Tout le monde est touché
- Si vous vous inquiétez?
- Que pouvez-vous faire pour vous protéger?
- Ne paniquez pas!
Un nouvel exploit Android a été dévoilé, Cloak & Dagger. Il décrit fidèlement comment des applications malveillantes peuvent tirer parti de deux autorisations Android pour voler des frappes au clavier et inciter les utilisateurs à divulguer des informations personnelles.
Mais est-ce dangereux? Décomposons-le rapidement.
Qu'est-ce que Cloak & Dagger?
Cloak & Dagger est le nom d'une combinaison de deux autorisations Android exploitables qui, lorsqu'elles sont utilisées indépendamment ou séparément via une application mal intentionnée, peuvent avoir des conséquences désastreuses.
Il a été publié comme preuve de concept par une équipe de quatre personnes du Georgia Institute of Technology et de l'Université de Californie à Santa Barbara.
Ce n'est pas un exploit actif et, à ce jour, aucune utilisation publique connue de celui-ci.
Comment ça marche?
Selon l'équipe, Cloak & Dagger tire parti de deux autorisations Android - SYSTEM_ALERT_WINDOW ("dessiner en haut") et BIND_ACCESSIBILITY_SERVICE ("a11y") - qui, lorsqu'elles travaillent ensemble ou séparément, permettent à une application de "écouter en" et voler des entrées de texte telles que des mots de passe, des numéros d'authentification à deux facteurs ou des données personnelles.
Cloak & Dagger est une nouvelle classe d'attaques potentielles visant les appareils Android. Ces attaques permettent à une application malveillante de contrôler complètement la boucle de rétroaction de l’UI et de prendre le contrôle du périphérique, sans donner à l’utilisateur une chance de remarquer l’activité malveillante. Ces attaques ne nécessitent que deux autorisations qui, dans le cas où l'application est installée à partir du Play Store, ne nécessite pas explicitement l'autorisation de l'utilisateur et pour lesquelles elle n'est même pas avertie. Notre étude auprès des utilisateurs indique que ces attaques sont pratiques.
La permission "Dessiner sur le dessus" est connue sous le nom de fonction de superposition Android. Elle est utilisée par de nombreuses applications telles que Facebook Messenger et la propre fonctionnalité Multi-fenêtres de Samsung pour permettre à des "fenêtres" pouvant être réduites et déplacées par-dessus d'autres applications.
Comment fonctionne l'exploit?
Étant donné que les deux autorisations ne font pas partie du système d'octroi d'autorisations explicite d'Android qui a débuté dans Android 6.0 Marshmallow, lorsqu'une application malveillante est téléchargée, l'application peut automatiquement accorder l'autorisation "Dessiner en haut".
Une fois que cela se produit, l’application, une fois ouverte, peut créer une superposition au-dessus d’une application connue, telle que Facebook, pour "hacher" des mots de passe. Il peut également se superposer au-dessus du clavier Android, en récupérant tout le texte saisi.
L’autorisation d’accessibilité est un peu plus difficile à forcer un utilisateur, mais l’équipe a indiqué que sa preuve de concept utilisait l’autorisation de superposition pour inciter les utilisateurs à l’activer. Une fois que les deux sont activés, une application «en mode divin» peut potentiellement voler des données à partir de n'importe quelle application utilisée sur le téléphone.
Tout le monde est touché
Cloak & Dagger affecte toutes les versions d'Android, selon l'équipe, y compris Android 5.0, 6.0 et 7.0, jusqu'à la dernière version d'Android 7.1.2.
Android 7.0 et les versions ultérieures rendent un peu plus difficile la mise en œuvre de certains exploits de superposition, mais une ingéniosité peut encore y remédier.
Si vous vous inquiétez?
À l'heure actuelle, aucune application connue ne tire parti de ces autorisations à des fins malveillantes, mais elles peuvent changer maintenant qu'elles sont publiques. L'équipe a publié la recherche pour forcer la main de Google à améliorer l'expérience, car contrairement à d'autres vulnérabilités d'Android, ces exploits tirent parti des défauts de conception des autorisations elles-mêmes, et non des failles ou des bogues du logiciel.
Que pouvez-vous faire pour vous protéger?
Ce ne sera pas un problème pour vous si vous êtes prudent avec les applications que vous utilisez.
On parle souvent beaucoup des failles de sécurité d'Android, mais Cloak & Dagger n'est pas quelque chose dont vous devez vous soucier tant que vous faites attention à accorder des autorisations de superposition.
Afin d'atténuer les effets potentiels de Cloak & Dagger, il est judicieux de déterminer quelles applications peuvent créer des superpositions sur votre système Android. Sur la plupart des versions d'Android, voici comment procéder:
- Ouvrez les paramètres Android.
- Faites défiler la liste et appuyez sur Applications.
- Tapez sur l'icône Menu ou Cog.
- Recherchez et tapez sur Accès spécial. C'est généralement sous la rubrique "Avancé".
- Appuyez sur Dessiner sur d'autres applications. Ce sont les applications qui peuvent créer des superpositions en utilisant l'autorisation ci-dessus.
- Désactivez les applications que vous ne reconnaissez pas.
Plus: Comment désactiver la superposition d'écran sur le Galaxy S8
Ne paniquez pas!
Sérieusement, ce n'est pas grave si vous faites attention aux applications que vous téléchargez, surtout que Google scanne désormais 50 milliards d'applications malveillantes chaque jour à l'aide de son système Play Protect.
Espérons que Google réglera ce problème publiquement ou fournira au moins des éclaircissements sur ce qu’il entend faire des superpositions d’applications. Android O devrait éliminer complètement ce problème en reformulant le problème de superposition avec une nouvelle API, mais il est difficile de savoir comment et si Google prévoit de résoudre le problème des versions précédentes.