Une fuite de sécurité majeure a conduit à la création d’applications malveillantes « de confiance » qui peuvent accéder à l’ensemble du système d’exploitation Android sur les appareils de Samsung, LG et autres.

Tel que partagé par Googler Łukasz Siewierski (via Mishaal Rahman), l’Android Partner Vulnerability Initiative (APVI) de Google a divulgué publiquement une nouvelle vulnérabilité qui affectait les appareils de Samsung, LG et autres.

Le cœur du problème est que plusieurs OEM Android ont vu leurs clés de signature de plate-forme divulguées en dehors de leurs sociétés respectives. Cette clé est utilisée pour garantir que la version d’Android qui s’exécute sur votre appareil est légitime, créée par le fabricant. Cette même clé peut également être utilisée pour signer des applications individuelles.

De par sa conception, Android fait confiance à toute application signée avec la même clé utilisée pour signer le système d’exploitation lui-même. Un attaquant malveillant avec ces clés de signature d’application pourrait utiliser le système « ID utilisateur partagé » d’Android pour donner des logiciels malveillants autorisations complètes au niveau du système sur un appareil concerné. Essentiellement, toutes les données sur un appareil affecté pourraient être disponibles pour un attaquant.

Notamment, cette vulnérabilité Android ne se produit pas uniquement lors de l’installation d’une application nouvelle ou inconnue. Étant donné que ces clés de plate-forme divulguées sont également utilisées dans certains cas pour signer des applications courantes – y compris l’application Bixby sur au moins certains téléphones Samsung – un attaquant pourrait ajouter un logiciel malveillant à une application de confiance, signer la version malveillante avec la même clé, et Android ferait confiance comme une « mise à jour ». Cette méthode fonctionnerait indépendamment du fait qu’une application provienne à l’origine du Play Store, du Galaxy Store ou qu’elle ait été chargée.

La divulgation publique de Google n’indique pas quels appareils ou équipementiers ont été touchés, mais elle affiche le hachage d’exemples de fichiers malveillants. Heureusement, chacun des fichiers a été téléchargé sur VirusTotal, qui révèle également souvent le nom de l’entreprise concernée. Avec cela, nous savons que les clés des sociétés suivantes ont été divulguées (bien que certaines clés n’aient pas encore été identifiées):

• Samsung
• LG
• Médiatek
• szroco (fabricants des tablettes Onn de Walmart)
• Revoir

Selon le bref explicatif de Google sur le problème, la première étape consiste pour chaque entreprise concernée à échanger (ou « faire pivoter ») ses clés de signature de plate-forme Android pour ne plus utiliser celles qui ont été divulguées. C’est une bonne pratique de le faire régulièrement de toute façon, afin de minimiser les dommages de futures fuites potentielles.

Au-delà de cela, Google a également exhorté tous les fabricants d’Android à réduire considérablement la fréquence d’utilisation de la clé de plate-forme pour signer d’autres applications. Seule une application qui besoins ce niveau d’autorisation le plus élevé doit être signé de cette façon pour éviter les problèmes de sécurité potentiels.

Google affirme que, depuis que le problème a été signalé en mai 2022, Samsung et toutes les autres entreprises concernées ont déjà « pris des mesures correctives pour minimiser l’impact sur l’utilisateur » de ces failles de sécurité majeures. On ne sait pas exactement ce que cela signifie, car certaines des clés vulnérables ont été utilisées dans les applications Android de Samsung ces derniers jours, selon APKMirror.

Notamment, alors que la divulgation de Google indique que l’exploit a été signalé en mai 2022, certains des exemples de logiciels malveillants ont d’abord été analysés par VirusTotal. dès 2016. Il n’est pas encore clair si cela signifie que la fuite et les exploits associés ont été activement utilisés contre certains appareils à cette époque.

Dans une déclaration, Google a précisé que les appareils des utilisateurs sont protégés contre cette vulnérabilité particulière de plusieurs manières, notamment via Google Play Protect, les « atténuations » des fabricants d’appareils, etc. Au-delà de cela, cet exploit n’a pas fait son chemin dans les applications distribuées via le Google Play Store.

Les partenaires OEM ont rapidement mis en œuvre des mesures d’atténuation dès que nous avons signalé le compromis clé. Les utilisateurs finaux seront protégés par les mesures d’atténuation des utilisateurs mises en œuvre par les partenaires OEM. Google a mis en place de larges détections pour les logiciels malveillants dans Build Test Suite, qui analyse les images système. Google Play Protect détecte également le logiciel malveillant. Rien n’indique que ce malware est ou était sur le Google Play Store. Comme toujours, nous conseillons aux utilisateurs de s’assurer qu’ils utilisent la dernière version d’Android.

— Porte-parole de Google

Alors que les détails de cette dernière fuite de sécurité Android sont confirmés, vous pouvez prendre quelques mesures simples pour vous assurer que votre appareil reste sécurisé. D’une part, assurez-vous que vous utilisez le dernier micrologiciel disponible pour votre appareil. Si votre appareil ne reçoit plus de mises à jour de sécurité Android cohérentes, nous vous recommandons de passer à un appareil plus récent dès que possible.

Au-delà de cela, évitez de télécharger des applications sur votre téléphone, même lors de la mise à jour d’une application déjà installée sur votre téléphone. Si vous avez besoin de charger une application, assurez-vous de faire entièrement confiance au fichier que vous installez.

Dylan Roussel contribué à cet article.

Plus sur Androïd :