Paume faciale : Comme tout autre système d’exploitation moderne, la conception d’Android utilise un modèle basé sur les « privilèges ». Un tel modèle est appliqué par des certificats numériques, et cela peut devenir assez gênant lorsque les certificats sont compromis d’une manière ou d’une autre.
Un nombre indéfini de certificats numériques Platform pour Android ont été compromis par des cybercriminels et ont été utilisés pour signer des logiciels malveillants. Divulgué pour la première fois en novembre, le problème semble désormais résolu grâce à la révocation des certificats susmentionnés, mais le risque persiste car les attaquants continueront à rechercher ce type d’accès.
Comme expliqué à l’origine sur la plate-forme de suivi des bogues de Chromium, un certificat de plate-forme est le certificat de signature d’application utilisé pour signer l’application « android » sur l’image du système d’exploitation. L’application « android » s’exécute avec les privilèges système les plus élevés, qui lui accordent des autorisations « système » pour accéder et modifier les données de l’utilisateur. Toute autre application signée avec ce type de certificat, ont averti les chercheurs, peut fonctionner avec le même niveau d’accès au système d’exploitation, aux données et aux applications Android.
Le rapport de problème a averti que plusieurs certificats de plate-forme étaient utilisés pour signer des applications malveillantes, avec plusieurs échantillons de logiciels malveillants (et certificats compromis) répertoriés avec leurs hachages SHA256 associés. Au moins quatre fabricants OEM ont été impliqués dans l’incident, dont deux étant LG et Samsung.
Google a informé toutes les parties concernées des certificats volés/compromis. Selon une déclaration de Samsung sur le problème, il n’y a eu jusqu’à présent aucun incident de sécurité connu concernant cette vulnérabilité potentielle. Les fabricants ont réagi rapidement, publiant rapidement des mises à jour de sécurité pour leurs éditions Android personnalisées dès que Google a signalé le compromis clé.
Les certificats volés sont désormais invalides et ne peuvent plus être utilisés pour signer de puissantes applications malveillantes. S’assurer que les appareils mobiles exécutent la dernière version d’Android est en effet la meilleure pratique de sécurité que les utilisateurs peuvent appliquer pour éviter ce type de risque, a conseillé Google.
Le géant de Mountain View a également suggéré la meilleure marche à suivre pour les fabricants de smartphones, qui devrait minimiser le nombre d’applications signées avec leur certificat Platform. De cette façon, le coût de la rotation des clés cryptographiques de la plate-forme sera considérablement réduit. De plus, ils doivent mener une enquête interne pour trouver la cause profonde du problème et prendre des mesures pour éviter que le même incident ne se reproduise à l’avenir.
Selon Zack Newman, chercheur à la société de sécurité de la chaîne d’approvisionnement en logiciels Chainguard, le défi posé par les certificats numériques volés n’est pas propre à Android. « La bonne nouvelle », a déclaré Newman, est que les ingénieurs et les chercheurs en sécurité « ont fait des progrès significatifs dans la création de solutions qui empêchent, détectent et permettent la récupération de ces attaques ».
