Vidéo: Comment régler Play Store refuse de télécharger une application (Novembre 2024)
Une vulnérabilité dans le système d'exploitation Android permet aux attaquants de prendre une application existante, d'injecter du code malveillant et de la reconditionner de manière à ce qu'elle puisse se faire passer pour l'application d'origine. Devriez-vous être inquiet?
Les chercheurs de Bluebox Security ont découvert la faille dans la façon dont les signatures cryptographiques des applications sont vérifiées, a déclaré Jeff Forristal, CTO de Bluebox, sur le blog de la société le 3 juillet. Cela signifie que des attaquants pourraient modifier l'application sans changer sa signature cryptographique, a déclaré Forristal.
La faille existe depuis Android 1.6 ("Donut") et rend "99%" des appareils, ou "tout téléphone Android sorti au cours des quatre dernières années", vulnérable aux attaques, a déclaré Forristal.
Le scénario effrayant ressemble à ceci: une application légitime (par exemple, une application Google) est modifiée pour voler des mots de passe ou connecter l'appareil à un botnet et est téléchargée par les utilisateurs. Puisque les deux applications ont la même signature numérique, il sera difficile pour les utilisateurs de savoir ce qui est réel et ce qui est faux.
Eh bien pas vraiment.
Suis-je en danger?
Google a mis à jour Google Play afin qu'il y ait des contrôles en place pour bloquer toutes les applications malveillantes utilisant cet exploit pour se faire passer pour une autre application.
Si vous installez des applications et des mises à jour à partir de Google Play, vous ne risquez pas cet exploit, car Google a pris des mesures pour sécuriser le marché des applications. Si vous téléchargez des applications de marchés tiers, même semi-officiels, tels que les magasins d'applications Samsung et Amazon, vous courez un risque. Pour le moment, il peut être utile de ne pas utiliser ces marchés.
Google recommande aux utilisateurs d'éviter les marchés tiers d'applications Android.
Que puis-je faire d'autre?
Il est également important de vous rappeler que vous devez toujours rechercher le développeur. Même si une application Trojanized passe par Google Play ou si vous êtes sur un autre magasin d'applications, l'application ne sera pas répertoriée sous le développeur d'origine. Par exemple, si les attaquants reconditionnent Angry Birds en utilisant cette vulnérabilité, la nouvelle version ne serait pas répertoriée sous le compte de Rovio.
Si vous voulez vous assurer que vous ne pouvez pas installer d'applications à partir de sources tierces, allez dans Paramètres> Sécurité et assurez-vous que la case à cocher pour installer des applications à partir de "sources inconnues" n'est pas cochée.
Si vous possédez la dernière version d'Android, vous êtes également protégé par le système d'analyse d'applications intégré, qui analyse les applications provenant de sources autres que Google Play. Cela signifie que même si vous installez par erreur une mauvaise application, votre téléphone peut toujours bloquer le code malveillant.
Il existe également des applications de sécurité pour Android qui peuvent détecter les comportements malveillants et vous alerter de l'application incriminée. PCMag recommande Bitdefender Mobile Security de notre choix aux rédacteurs.
Une attaque est-elle probable?
"Le fait que la" clé principale "n'ait pas encore été exploitée ne signifie pas que nous pouvons nous reposer sur nos lauriers", a déclaré à SecurityWatch Grayson Milbourne, directeur du renseignement de sécurité chez Webroot. La sécurité mobile devrait viser à protéger l'appareil de tous les côtés: protection de l'identité pour protéger les mots de passe et autres informations personnelles, blocage des programmes malveillants et des applications malveillantes, et possibilité de retrouver l'appareil s'il est perdu ou volé, a déclaré M. Milbourne.
Bluebox a signalé la faille à Google en février et Google a déjà envoyé un correctif à ses partenaires fournisseurs de l’alliance Open Handset. Plusieurs fabricants de combinés ont déjà publié des correctifs pour résoudre le problème. Les transporteurs doivent maintenant appliquer la solution à leurs utilisateurs finaux.
"Il incombe aux fabricants d'appareils de produire et de publier des mises à jour de microprogrammes pour les appareils mobiles (et, en outre, pour les utilisateurs d'installer ces mises à jour)", a déclaré Forristal. Bluebox prévoit de révéler plus de détails lors de la conférence Black Hat à Las Vegas à la fin du mois.
Pau Oliva Fora, ingénieur de la société de sécurité mobile viaForensics, a publié une preuve de concept exploitant la vulnérabilité le 8 juillet sur github. Fora a créé le script shell après avoir lu les détails du bogue publié par l'équipe de CyanogenMod. CyanogenMod est une version populaire d'Android que les utilisateurs peuvent installer sur leurs appareils. L'équipe a déjà corrigé la faille.
Si vous faites partie des rares chanceux qui reçoivent une mise à jour Android de votre opérateur, assurez-vous de la télécharger et de l'installer immédiatement. Même si les risques sont faibles, la mise à jour du système d'exploitation est un bon sens de la sécurité.
