Pendant que Google développe son système d’exploitation mobile Android open source, les “fabricants d’équipement d’origine” qui fabriquent les smartphones Android, comme Samsung, jouent un rôle important dans l’adaptation et la sécurisation du système d’exploitation pour leurs appareils. Mais une nouvelle découverte que Google a rendue publique jeudi révèle qu’un certain nombre de certificats numériques utilisés par les fournisseurs pour valider des applications système vitales ont récemment été compromis et ont déjà été abusés pour apposer un sceau d’approbation sur des applications Android malveillantes.
Comme avec presque tous les systèmes d’exploitation informatiques, Android de Google est conçu avec un modèle “privilégié”, de sorte que différents logiciels exécutés sur votre téléphone Android, des applications tierces au système d’exploitation lui-même, sont limités autant que possible et n’autorisent que l’accès au système. en fonction de leurs besoins. Cela empêche le dernier jeu auquel vous jouez de collecter discrètement tous vos mots de passe tout en permettant à votre application de retouche photo d’accéder à votre pellicule, et toute la structure est renforcée par des certificats numériques signés avec des clés cryptographiques. Si les clés sont compromises, les attaquants peuvent accorder à leurs propres autorisations logicielles qu’ils ne devraient pas avoir.
Google a déclaré jeudi dans un communiqué que les fabricants d’appareils Android avaient déployé des mesures d’atténuation, fait pivoter les clés et diffusé automatiquement les correctifs sur les téléphones des utilisateurs. Et la société a ajouté des détections de scanner pour tout logiciel malveillant tentant d’abuser des certificats compromis. Google a déclaré qu’il n’avait trouvé aucune preuve que le logiciel malveillant s’était introduit dans le Google Play Store, ce qui signifie qu’il faisait le tour via une distribution tierce. La divulgation et la coordination pour faire face à la menace se sont produites par le biais d’un consortium connu sous le nom d’Android Partner Vulnerability Initiative.
“Bien que cette attaque soit assez mauvaise, nous avons eu de la chance cette fois, car les OEM peuvent rapidement faire pivoter les clés affectées en envoyant des mises à jour d’appareils en direct”, déclare Zack Newman, chercheur à la société de sécurité de la chaîne d’approvisionnement logicielle Chainguard, qui a fait une analyse de l’incident.
L’abus des “certificats de plate-forme” compromis permettrait à un attaquant de créer un logiciel malveillant qui est oint et dispose d’autorisations étendues sans avoir besoin d’inciter les utilisateurs à les accorder. Le rapport de Google, par l’ingénieur inverse Android Łukasz Siewierski, fournit des exemples de logiciels malveillants qui profitaient des certificats volés. Ils désignent Samsung et LG comme deux des fabricants dont les certificats ont été compromis, entre autres.
LG n’a pas renvoyé de demande de commentaire de WIRED. Samsung a reconnu le compromis dans un communiqué et a déclaré qu ‘”il n’y a eu aucun incident de sécurité connu concernant cette vulnérabilité potentielle”.
Bien que Google semble avoir détecté le problème avant qu’il ne dégénère, l’incident souligne la réalité selon laquelle les mesures de sécurité peuvent devenir des points de défaillance uniques si elles ne sont pas conçues de manière réfléchie et avec autant de transparence que possible. Google lui-même a lancé l’année dernière un mécanisme appelé Google Binary Transparency qui peut servir à vérifier si la version d’Android exécutée sur un appareil est la version vérifiée prévue. Il existe des scénarios dans lesquels les attaquants pourraient avoir tellement accès au système d’une cible qu’ils pourraient vaincre ces outils de journalisation, mais ils valent la peine d’être déployés pour minimiser les dommages et signaler les comportements suspects dans autant de situations que possible.
Comme toujours, la meilleure défense pour les utilisateurs est de maintenir à jour le logiciel de tous leurs appareils.
“La réalité est que nous verrons des attaquants continuer à rechercher ce type d’accès”, déclare Newman de Chainguard. “Mais ce défi n’est pas propre à Android, et la bonne nouvelle est que les ingénieurs et les chercheurs en sécurité ont fait des progrès significatifs dans la création de solutions qui empêchent, détectent et permettent la récupération après ces attaques.”