Posté le décembre 5, 2022 à 11:17
LES FOURNISSEURS DE SMARTPHONES ANDROID SONT VISÉS PAR UN EXPLOIT SUR LES CERTIFICATS DE PLATEFORME
Les certificats de plateforme utilisés par les fournisseurs de smartphones Android, tels que Samsung, LG et MediaTek, sont exploités pour signer des applications malveillantes. Un rétro-ingénieur de Google, Lukasz Siewierski, a été le premier à détecter ce problème.
Les certificats de plateforme utilisés par les fournisseurs de smartphones Android ont fait l’objet d’abus
Les appareils Android ont été des cibles de choix pour les acteurs malveillants en raison de la popularité de ces appareils. Le dernier exploit sur les certificats de plateforme vient s’ajouter aux nouvelles manœuvres que les acteurs de la menace utilisent pour accéder à ces appareils sans autorisation.
Selon un rapport de l’Android Partner Vulnerability Initiative, un certificat de plateforme est un certificat de signature d’application. Il est utilisé pour signer l’application Android sur l’image système. Il ajoute que « l’application Android s’exécute avec un identifiant d’utilisateur hautement privilégié – android.uid.system – et détient des autorisations système, notamment l’accès aux données de l’utilisateur. »
Cela montre que l’application malveillante signée à l’aide du même certificat peut obtenir un haut niveau de privilège de la même manière que le système d’exploitation Android. Cela permet à la plateforme d’accéder à des informations sensibles à partir de l’appareil affecté.
Les applications malveillantes qui ont accédé à ces certificats peuvent causer des dommages importants à l’appareil android car elles peuvent infiltrer des données sensibles de l’utilisateur qui peuvent ensuite être utilisées pour mener d’autres attaques malveillantes, comme des campagnes de phishing. De telles campagnes peuvent être préjudiciables aux utilisateurs et même aux organisations.
Le rapport comprend une liste d’applications Android malveillantes qui ont abusé des certificats. Ces applications comprennent com.russian.signato.renewis, com.sledsdffsjkh.Search, com.android.power, com.management.propaganda, com.sec.android.musicplayer, com.houla.quicken, com.attd.da, com.arlo.fappx, com.metasploit.stage et com.vantage.ectronic.cornmuni.
Malgré la découverte décrite dans ce rapport, il n’existe aucune preuve montrant comment ces artefacts ont été détectés. De plus, aucun détail n’indique si ces artefacts ont été utilisés dans le cadre d’une campagne malveillante. Par conséquent, rien ne permet de dire si certains utilisateurs d’Android ont déjà été victimes de ces applications qui ont le privilège de collecter les données sensibles des utilisateurs.
Lorsque l’exploit est recherché sur VirusTotal, il montre que les échantillons ont déjà été signalés par des logiciels antivirus. Parmi les solutions antivirus qui ont déjà détecté et signalé ces activités figurent les adwares, les HiddenAds, les voleurs d’informations et les téléchargeurs. Ils ont également été détectés par des solutions détectant les logiciels malveillants cachés, ce qui pourrait signifier que les appareils utilisant ces solutions antivirus ont été protégés.
Toutefois, étant donné que la portée de la recherche est limitée, aucun détail ne montre si certains utilisateurs qui n’ont pas mis en œuvre de solutions antivirus auraient pu être affectés par les activités malveillantes.
Google affirme avoir informé tous les fournisseurs concernés
Alors que le rapport des chercheurs ne précise pas si des utilisateurs d’Android ont été affectés par les applications malveillantes, Google a déclaré qu’il n’y a aucune preuve que ces applications aient été publiées sur sa place de marché d’applications, Google Play Store.
Contacté pour un commentaire, Google a également déclaré avoir informé tous les fournisseurs concernés de l’exploit. Il leur a conseillé d’effectuer une rotation des certificats afin de réduire la possibilité qu’une infraction soit commise à l’aide de ces certificats et que ces applications puissent recueillir les identifiants sensibles des utilisateurs.
La société a également ajouté que certains fournisseurs avaient déjà modifié leurs certificats afin d’éviter tout dommage causé par les applications malveillantes. Elle a ajouté que les partenaires OEM avaient déjà adopté des mesures correctives dès que Google avait signalé la compromission de la clé.
La société a par ailleurs ajouté que les utilisateurs finaux seraient protégés par les stratégies d’atténuation mises en place par les partenaires OEM. Cela signifie qu’il y a moins de chances que les utilisateurs d’Android soient affectés par cet exploit. Les mesures d’atténuation réduiront également les chances qu’un exploit similaire se produise à l’avenir.
Google a aussi souligné les différentes mesures qu’il a prises pour identifier les logiciels malveillants sur la plateforme et s’assurer que les utilisateurs d’android ne sont pas victimes d’attaques malveillantes. La société a déclaré qu’elle utilise sa Build Test Suite pour détecter tout logiciel malveillant sur le système. Elle a ajouté qu’il n’y avait aucune preuve que les applications malveillantes aient été transmises par le Google Play Store, ajoutant que les utilisateurs peuvent se protéger au mieux par des mises à jour régulières.
« Google a mis en place des détections larges pour le logiciel malveillant dans Build test Suite, qui arnaque les images système. Google Play Protect détecte également le logiciel malveillant. Rien n’indique que ce logiciel malveillant se trouve ou se trouvait sur le Google Play Store. Comme toujours, nous conseillons aux utilisateurs de s’assurer qu’ils utilisent la dernière version d’Android », ajoute Google.
