SINGAPOUR: Google a supprimé 11 applications du Play Store qui étaient infectées par des logiciels malveillants qui abonnent invisiblement les victimes à des services premium à leur insu.
Sous le nom de Joker, le malware s’adapte pour se cacher dans le fichier d’informations essentielles que chaque application Android doit posséder.
Aviran Hazum, chercheur à Check Point, a déclaré à Profit que le malware Joker a évolué pour cacher du code malveillant à l’intérieur de ce qu’on appelle le fichier manifeste Android d’une application légitime. « Chaque application doit avoir un fichier manifeste Android dans son répertoire racine », a-t-il déclaré.
«Le fichier manifeste fournit des informations essentielles sur une application, telles que le nom, l’icône et les autorisations, au système Android, que le système doit posséder avant de pouvoir exécuter n’importe quel code de l’application. De cette façon, le logiciel malveillant n’a pas besoin d’accéder à la commande et au contrôle, qui est un ordinateur [that is] contrôlé par un cybercriminel utilisé pour envoyer des commandes à des systèmes compromis par des logiciels malveillants, pour télécharger la charge utile, la partie du logiciel malveillant qui effectue l’action malveillante. »
Hazum a déclaré que les protections créées par Google pour le Play Store ne sont pas suffisantes, ajoutant que son équipe a été en mesure de détecter de nombreux cas de téléchargements Joker chaque semaine sur Google Play, qui ont tous été téléchargés par des utilisateurs sans méfiance.
Il a ajouté que malgré l’investissement de Google dans l’ajout de protections Play Store, le malware est difficile à détecter et que les parties prenantes devraient s’attendre à ce que Joker s’adapte à nouveau aux contre-mesures prises.
Au lieu d’attendre qu’un chercheur trouve des vulnérabilités après que les utilisateurs d’applications ont été compromis, les éditeurs d’applications ont la possibilité d’employer des pirates éthiques qui trouveront des lacunes pour une prime de bogue.
Les pirates éthiques sont la raison pour laquelle le succès des logiciels malveillants a ralenti au cours de la dernière décennie en raison des changements dans l’industrie InfoSec, certains des meilleurs pirates étant des ingénieurs de sécurité qui aident les entreprises à améliorer leur posture de sécurité par des tests de pénétration gratuits.
Pourtant, avec le succès des pirates éthiques à trouver des lacunes dans un site, une application ou des services de distribution numérique, la stigmatisation négative entourant le terme pirate crée une hésitation à adopter une sécurité propulsée par des pirates.
« Ce qui a commencé dans les entrailles les plus sombres d’Internet est devenu une force pour de bon, d’abord en tant que passe-temps respectable et en tant que quelque chose que des gens talentueux pourraient faire à côté », a déclaré John Baker, directeur de l’ingénierie des solutions et conseiller en primes de bogues pour HackerOne. .
« Mais maintenant, c’est bien plus que cela – c’est une vocation professionnelle: des pirates, des pentesters et des chercheurs en sécurité qui sont dignes de confiance et respectés et qui fournissent un service précieux pour nous tous. »
Dans un sondage réalisé par HackerOne, les responsables de la sécurité de l’information (CISO) ont partagé les trois principaux défis rencontrés lors de l’adoption de la sécurité par les pirates: la rareté des ressources pour trouver des vulnérabilités, la réticence à faire confiance aux pirates à distance par rapport aux enquêteurs ils embauchent sur place dans leur bureau, et la perspective de ralentir le flux de travail qui peut étouffer l’innovation.
S’adressant à Profit, Baker a partagé que si les pratiques Agile et DevOps continuent d’être mises en œuvre sans les changements correspondants des pratiques de sécurité, le rythme de développement de leur organisation dépasse les ressources de l’équipe de sécurité.
«83% des RSSI considèrent les vulnérabilités de sécurité comme une menace importante pour leur organisation, 45% des RSSI admettent que les tests de plume ne fournissent pas de résultats suffisants pour suivre le développement, [and] seulement 12% pensent que le test de dépistage est suffisant », a déclaré Baker.
«Il y a une limite au nombre de professionnels de la sécurité qu’une organisation peut embaucher dans l’équipe. Cependant, lorsque vous obtenez le pouvoir de la communauté des hackers, cela apporte immédiatement plus de regards sur vos actifs. Toutes les cinq minutes, un pirate informatique signale une vulnérabilité sur la plateforme HackerOne. Dans 77% de nos programmes, les pirates trouvent la première vulnérabilité en moins de 24 heures après le lancement initial. »
Baker a déclaré à Profit que plusieurs clients HackerOne avaient expliqué en détail comment la mise en œuvre de la sécurité basée sur le piratage leur avait permis d’économiser en moyenne près de 400 000 $ sur une période de trois ans, ce qui avait réduit les efforts de sécurité interne et de développement d’applications.
Il a dit qu’une grande raison à cela est que les programmes de primes aux bogues adoptent une approche de «rémunération pour les résultats» plutôt qu’un modèle de «rémunération pour l’effort». De cette façon, les efforts ne sont pas dupliqués uniquement pour le compte rendu de conformité.
«57% des [the] CISO [we polled] préfère accepter les risques de failles de sécurité que d’inviter des pirates inconnus à les corriger », a déclaré Baker.
«Seulement 26 pour cent des CISO sont prêts à accepter les soumissions de bogues de toute la communauté du piratage. 54% des RSSI ne seraient pas à l’aise d’accepter les soumissions de bogues de pirates ayant un passé criminel. Si vous recevez aujourd’hui un rapport de vulnérabilité par e-mail, LinkedIn ou Twitter, vous vous demandez peut-être: qui est l’expéditeur? – c’est juste une adresse e-mail, généralement associée à un compte Gmail. Peut-être que la langue anglaise n’est pas parfaite. Alors vous vous demandez, à quel point dois-je prendre cela au sérieux? «
Les violations de données quotidiennes et les vulnérabilités exploitées ne sont pas rares dans l’actualité. Mettre une propriété sur Internet entraînera des milliers d’attaques, que le programme de primes aux bogues l’invite ou non.
Les entreprises intelligentes sont proactives, comme Sony, qui a annoncé son programme de primes aux bogues en juin pour la Playstation – des mois avant le lancement de la dernière version de la console.
Sean Yeoh, responsable de l’ingénierie chez Assetnote, a récemment obtenu une prime de bogue de 3000 $ de Microsoft après avoir découvert un mécanisme pour reprendre les comptes Microsoft Azure DevOps en un seul clic.
Sam Curry, un chercheur en sécurité, a reçu 4000 $ de Starbucks pour avoir révélé une faille de sécurité dans l’infrastructure Web principale qui aurait pu potentiellement divulguer les dossiers de jusqu’à 100 millions de clients de la chaîne de café.
«Avec le bug bounty, les tests sont continus, continus et reflètent le cycle de vie du développement logiciel», a déclaré Baker.
«Les données des programmes de primes aux bogues peuvent aider à l’innovation, accélérer les processus et donner aux équipes de développement une meilleure idée des vulnérabilités susceptibles d’être introduites; donc accélérer la livraison réussie plutôt que de la ralentir. »
C’est pourquoi des entreprises telles que Spotify et Shopify utilisent une sécurité basée sur des hackers pour aider à l’innovation et informer les équipes de développement sur les vulnérabilités susceptibles d’être introduites. Il n’y a pas de moyen plus rapide de trouver des vulnérabilités que de travailler avec des pirates éthiques et de compenser en conséquence les résultats.
