«Faux identifiant» et sécurité Android [mise à jour]

Aujourd'hui, la société de recherche en sécurité BlueBox - la même société qui a découvert la vulnérabilité dite "clé principale" d'Android - a annoncé la découverte d'un bogue dans la façon dont Android traite les certificats d'identité utilisés pour signer les applications. La vulnérabilité, que BlueBox a surnommée "Fake ID", permet aux applications malveillantes de s’associer aux certificats d’applications légitimes, ce qui leur donne accès à des éléments auxquels elles ne devraient pas avoir accès.

Des failles de sécurité comme celle-ci semblent effrayantes, et nous avons déjà vu un ou deux titres hyperboliques aujourd’hui alors que cette histoire a éclaté. Néanmoins, tout bogue qui permet aux applications de faire des choses qu’elles ne sont pas supposées poser est un problème sérieux. Résumons donc ce qui se passe en un mot, ce que cela signifie pour la sécurité Android, et si cela vaut la peine de s’inquiéter …

Mise à jour: nous avons mis à jour cet article pour refléter la confirmation de Google que les fonctionnalités de Play Store et de "vérifier les applications" ont bien été mises à jour afin de résoudre le problème du faux ID. Cela signifie que la grande majorité des appareils Google Android actifs bénéficient déjà d'une protection contre ce problème, comme indiqué plus loin dans cet article. La déclaration complète de Google se trouve à la fin de cet article.

Le problème - Certificats Dodgy

'Fake ID' provient d'un bogue dans le programme d'installation du package Android.

Selon BlueBox, cette vulnérabilité provient d'un problème rencontré dans le programme d'installation du package Android, la partie du système d'exploitation qui gère l'installation des applications. Apparemment, le programme d'installation du package ne vérifie pas correctement l'authenticité des "chaînes" de certificats numériques, ce qui permet à un certificat malveillant de prétendre qu'il a été émis par une partie de confiance. C'est un problème car certaines signatures numériques fournissent aux applications un accès privilégié à certaines fonctions de l'appareil. Avec Android 2.2-4.3, par exemple, les applications portant la signature d'Adobe bénéficient d'un accès privilégié au contenu WebView - une condition requise pour la prise en charge d'Adobe Flash qui, en cas d'utilisation abusive, pourrait poser problème. De même, usurper la signature d'une application disposant d'un accès privilégié au matériel utilisé pour des paiements sécurisés via NFC peut permettre à une application malveillante d'intercepter des informations financières sensibles.

Plus inquiétant, un certificat malveillant pourrait également être utilisé pour emprunter l'identité de certains logiciels de gestion de périphériques distants, tels que 3LM, utilisé par certains fabricants et permettant un contrôle étendu du périphérique.

Jeff Foristall, chercheur chez BlueBox, écrit:

"Les signatures d'applications jouent un rôle important dans le modèle de sécurité Android. La signature d'une application détermine qui peut mettre à jour l'application, quelles applications peuvent partager ses données, etc. Certaines autorisations, utilisées pour l'accès aux fonctionnalités, ne sont utilisables que par les applications disposant du même signature que le créateur de l'autorisation. Plus intéressant encore, des signatures très spécifiques bénéficient de privilèges spéciaux dans certains cas."

Alors que le problème Adobe / webview n’affecte pas Android 4.4 (car la webview est maintenant basé sur Chromium, qui ne possède pas les mêmes points d’accouplement Adobe), le bogue du programme d’installation du package sous-jacent continue apparemment de toucher certaines versions de KitKat. Dans une déclaration faite à Android Central, Google a déclaré: "Après avoir appris cette vulnérabilité, nous avons rapidement publié un correctif qui a été distribué aux partenaires Android, ainsi qu'au projet Open Source Android."

Google dit qu'il n'y a aucune preuve que "Fake ID" soit exploité à l'état sauvage.

Étant donné que BlueBox a déclaré avoir informé Google en avril, il est probable que tous les correctifs auront été inclus dans Android 4.4.3, et éventuellement certains correctifs de sécurité basés sur la version 4.4.2 et fournis par des constructeurs OEM. (Voir ce code commit - merci Anant Shrivastava.) Les premiers tests effectués avec la propre application de BlueBox montrent que les cartes LG G3, Samsung Galaxy S5 et HTC One M8 européens ne sont pas affectées par Fake ID. Nous avons contacté les principaux constructeurs Android pour savoir quels autres appareils ont été mis à jour.

En ce qui concerne les détails de la fausse carte d'identité, Forristal a annoncé qu'il en dévoilerait davantage à la Black Hat Conference de Las Vegas le 2 août. Dans sa déclaration, Google a déclaré avoir analysé toutes les applications de son Play Store, et certaines hébergées. dans d'autres magasins d'applications, et n'a trouvé aucune preuve que l'exploit était utilisé dans le monde réel.

La solution - Correction de bugs Android avec Google Play

Grâce aux services de jeu, Google peut neutraliser efficacement ce bogue sur la majeure partie de l'écosystème Android actif.

La fausse identité est une grave vulnérabilité de sécurité qui, si elle était correctement ciblée, pourrait permettre à un attaquant de causer de graves dommages. Et comme le bogue sous-jacent n’a été abordé que récemment dans l’AOSP, il pourrait sembler que la grande majorité des téléphones Android soient ouverts à l’attaque et le resteront dans un avenir prévisible. Comme nous en avons déjà discuté, la tâche consistant à mettre à jour le milliard de téléphones actifs est un défi de taille, et la "fragmentation" est un problème inhérent à l'ADN d'Android. Mais Google a un atout à jouer face à des problèmes de sécurité comme celui-ci: les services Google Play.

Tout comme Play Services ajoute de nouvelles fonctionnalités et API sans nécessiter de mise à jour de microprogramme, il peut également être utilisé pour colmater des failles de sécurité. Il y a quelque temps, Google a ajouté une fonctionnalité de "vérification des applications" aux services Google Play afin d'analyser le contenu malveillant de n'importe quelle application avant son installation. De plus, il est activé par défaut. Sous Android 4.2 et supérieur, il se trouve sous Paramètres> Sécurité; sur les anciennes versions, vous le trouverez sous Paramètres Google> Vérifier les applications. Comme le mentionnait Sundar Pichai lors de Google I / O 2014, 93% des utilisateurs actifs utilisent la dernière version des services Google Play. Même notre ancien LG Optimus Vu, fonctionnant sous Android 4.0.4 Ice Cream Sandwich, dispose de l'option "vérifier les applications" de Play Services pour vous protéger des logiciels malveillants.

Google a confirmé à Android Central que la fonctionnalité "vérifier les applications" et Google Play ont été mis à jour pour protéger les utilisateurs de ce problème. En effet, les bogues de sécurité au niveau des applications comme celui-ci correspondent exactement à la fonctionnalité de "vérification des applications". Cela limite considérablement l'impact de Fake ID sur tout appareil exécutant une version à jour des services Google Play - loin que tous les appareils Android soient vulnérables, l'action de Google visant à contrer Fake ID via Play Services l'a effectivement neutralisée avant même que le problème ne soit rendu public. connaissance.

Nous en saurons plus lorsque les informations sur le bogue seront disponibles sur Black Hat. Mais puisque le vérificateur d'applications de Google et le Play Store peuvent capturer des applications utilisant de faux identifiants, l'affirmation de BlueBox selon laquelle "tous les utilisateurs d'Android depuis janvier 2010" sont en danger semble exagérée. (Certes, les utilisateurs utilisant un appareil doté d'une version d'Android non approuvée par Google restent dans une situation plus délicate.)

Laisser les services de jeu jouer le rôle de portier est une solution palliative, mais très efficace.

Quoi qu'il en soit, le fait que Google soit au courant de Fake ID depuis avril rend très peu probable qu'une application exploitant cet exploit parvienne à l'avenir sur le Play Store. Comme pour la plupart des problèmes de sécurité sur Android, le moyen le plus simple et le plus efficace de gérer Fake ID consiste à choisir l’origine de vos applications.

Bien sûr, empêcher une vulnérabilité d'être exploitée ne revient pas à l'éliminer complètement. Dans un monde idéal, Google pourrait appliquer une mise à jour en direct à chaque appareil Android et éliminer le problème à tout jamais, comme le ferait Apple. Laisser les services de jeu et le Play Store agir en tant que portiers est une solution miracle, mais compte tenu de la taille et de la nature tentaculaire de l'écosystème Android, il s'agit d'une solution relativement efficace.

Cela ne veut pas dire que beaucoup de fabricants mettent encore trop de temps à publier d'importantes mises à jour de sécurité pour les appareils, en particulier les moins connus, car des problèmes de ce type ont tendance à être mis en évidence. Mais c'est beaucoup mieux que rien.

Il est important d'être conscient des problèmes de sécurité, en particulier si vous êtes un utilisateur averti d'Android - le genre de personne que les gens ordinaires appellent pour obtenir de l'aide en cas de problème avec leur téléphone. Mais c'est aussi une bonne idée de garder les choses en perspective, et souvenez-vous que ce n'est pas seulement la vulnérabilité qui compte, mais également le vecteur d'attaque possible. Dans le cas de l'écosystème contrôlé par Google, Play Store et Play Services sont deux outils puissants avec lesquels Google peut gérer les logiciels malveillants.

Alors restez en sécurité et restez intelligent. Nous vous tiendrons au courant de toutes les informations supplémentaires sur le faux ID des principaux constructeurs Android.

Mise à jour: un porte-parole de Google a fourni à Android Central la déclaration suivante:

"Nous apprécions que Bluebox nous signale cette vulnérabilité de manière responsable. La recherche menée par des tiers est l’un des moyens par lesquels Android devient plus fort pour les utilisateurs. Après avoir appris cette vulnérabilité, nous avons rapidement publié un correctif qui a été distribué aux partenaires Android, ainsi qu’à AOSP. Les applications Google Play et Verify ont également été améliorées pour protéger les utilisateurs contre ce problème. Nous analysons actuellement toutes les applications soumises à Google Play, ainsi que celles examinées par Google en dehors de Google Play, et nous n'avons constaté aucune tentative de tentative. exploitation de cette vulnérabilité."

Sony nous a également dit qu'il travaillait à l'application du correctif Fake ID à ses appareils.