Pileup : 6 failles du service de mise à jour d’Android mettent tous les appareils en danger

Les gens pensent que mettre à jour le système d’exploitation de leur téléphone le rend plus sûr et plus fiable, parce que la nouvelle version fixe les failles de sécurité et améliore la protection. Malheureusement, ce n’est pas toujours le cas.

Des chercheurs de l’Indiana University Bloomington (Luyi Xing, Xiaorui Pan,Kan Yuan et XiaoFeng Wang) et de Microsoft (Rui Wang ) ont analysé en profondeur le Package Management Service, un composant du service de mise à jour des appareils Android.

Ils y ont découvert 6 failles de type « priviledge escalation » où des droits élevés sont donnés à des ressources qui normalement n’auraient pas dû les obtenir.

Dans ce cas précis, la faille de sécurité du service de mise à jour Android permet à des applications malveillantes d’apparence inoffensive, d’obtenir des droits accrus sans la permission de l’utilisateur lors de toute mise à jour du système.

Et notamment d’obtenir toutes les nouvelles permissions ajoutées par le nouveau système d’exploitation, de remplacer des applis système par des applis malicieuses et d’injecter des scripts malicieux dans des pages web parfaitement normales.

Au lieu d’exploiter les failles de sécurité existantes, ces attaques exploitent le mécanisme de mise à jour de futures versions du système. Par exemple, une application malicieuse d’Android 2.3.6 peut s’accorder en toute impunité l’autorisation de lire le profil utilisateur, car elle n’existe pas sur cette version. Elle n’existe que sur la version 4.0. Dès que le système est mis à jour à la version 4.0, l’application malicieuse peut utiliser cette autorisation !

Il en va de même de l’ID de l’utilisateur, qui permettra à l’application de substituer des applis malicieuses à des applications système comme Google Calendar.

Au final, une application malicieuse peut mettre la main sur les messages vocaux, le journal des appels, les notifications, peut envoyer des Textos, changer les niveaux de protection, modifier la description montrée aux utilisateurs quand on leur demande des droits. En un mot : difficile de faire pire.

Malheureusement, les chercheurs ont montré que de telles applications malicieuses pouvaient se trouver dans les magasins d’applis comme Google Play ou Amazon Appstore.

 

Scanner anti pileup

Si les chercheurs ont prévenu Google le 14 octobre 2013, et que Google a envoyé un patch aux vendeurs le 8 janvier 2014, ceux-ci ne les distribuent pas toujours rapidement. Et on ne sait pas quand les patchs arriveront pour les 5 autres failles.

Les chercheurs proposent donc une appli qui scanne les applis utilisant ces failles, à utiliser avant toute mise à jour:

Google Play: https://play.google.com/store/apps/details?id=com.iu.seccheck
Amazon AppStore for Android: http://www.amazon.com/gp/product/B00IZOHC40
GetJar: http://www.getjar.mobi/mobile/808409/Secure-Update-Scanner
SlideMe: http://slideme.org/application/secure-update-scanner
360 Mobile Assistant: http://zhushou.360.cn/detail/index/soft_id/1594856

Démo: Voler des messages Google Voice

 

Démo: Phishing

 

Démo: pirater un compte Google