Microsoft a mis en garde contre un ensemble de vulnérabilités associées à plusieurs applications Android populaires qui ont plus de 4 milliards d’installations sur des appareils, avec lesquelles les cybercriminels peuvent obtenir une application malveillante pour exécuter du code malveillant arbitraire et voler des jetons avec les informations de connexion.
C’est ce qu’a partagé l’entreprise technologique dans le cadre d’une enquête menée par l’équipe Microsoft Threat Intelligence, où elle a révélé cette vulnérabilité qu’elle a qualifiée de « Dirty Stream ».
Plus précisément, la vulnérabilité identifiée permet aux acteurs malveillants de prendre un contrôle total sur le comportement de l’application en exécutant du code arbitraire. Parallèlement, le vol de jetons peut permettre aux cybercriminels d’accéder aux comptes d’utilisateurs et aux données sensibles.
Comme expliqué dans une déclaration sur leur blog de cybersécurité, cette vulnérabilité affecte les applications Android populaires disponibles sur le Google Play Store, qui comptent actuellement plus de 4 milliards d’installations sur les appareils Android.
En ce sens, les chercheurs ont commencé à partager les informations trouvées sur la vulnérabilité avec les développeurs des applications concernées en février de cette année. À partir de ce moment, les développeurs ont commencé à mettre en œuvre des corrections via des mises à jour, afin d’atténuer cet échec.
Maintenant, après avoir identifié que davantage d’applications pourraient être affectées, Microsoft a souligné son intention de sensibiliser l’opinion au problème et de fournir des conseils pour empêcher les développeurs d’introduire ce modèle de vulnérabilité dans leurs applications Google Android.
L’une des applications concernées est Xiaomi File Manager. Selon Microsoft, les chercheurs ont pu exécuter du code arbitraire et donc contrôler l’application, dans la version V1-210567. Cependant, après avoir pris connaissance du bug, Xiaomi a publié la version mise à jour V1-210593, dans laquelle ils ont vérifié que la vulnérabilité avait été résolue.
La même chose s’est produite avec l’application WPS Office, où les chercheurs ont pu obtenir du code arbitraire dans la version 16.8.1. La vulnérabilité a été corrigée ultérieurement à partir de la version 17.0.0.
Dans le cas de Xiaomi File Manager, Microsoft a indiqué qu’il compte plus d’un milliard d’installations. De même, « l’application » WPS Office compte plus de 500 millions d’installations.
PANNE DU SYSTÈME D’ÉCHANGE DE DONNÉES ET DE FICHIERS ANDROID
Telle que développée par Microsoft, cette vulnérabilité se retrouve dans le système d’échange de données et de fichiers sur Android. Généralement, les applications développées pour ce système d’exploitation ont leurs propres données et espace mémoire isolés sur l’appareil. Cependant, il est parfois nécessaire que différentes applications partagent des informations entre elles pour leur bon fonctionnement.
En ce sens, pour faciliter l’échange de données et de fichiers entre applications, Android fournit un système appelé fournisseur de contenu, qui agit comme une interface pour gérer et exposer les données au reste des applications installées.
Ainsi, l’entreprise a détaillé que, bien que ce système dispose de mesures de sécurité et constitue une solution fiable, une implémentation incorrecte dans les applications peut introduire des vulnérabilités qui « peuvent permettre de contourner les restrictions de lecture ou d’écriture dans le répertoire personnel d’une application ».
Tout cela signifie que des acteurs malveillants peuvent contourner les mesures de sécurité existantes et exécuter du code arbitraire sur l’appareil, leur permettant ainsi de prendre le contrôle de l’application. De même, une autre conséquence peut se refléter dans le vol de jetons d’application, qui permettent d’obtenir des informations de connexion et, par conséquent, d’accéder aux comptes et aux données confidentielles.
Dans un exemple d’exploitation de cette vulnérabilité partagée par Microsoft, l’application vulnérable pourrait charger des bibliothèques natives depuis son répertoire de données. Dans ce cas, l’application malveillante peut écraser une bibliothèque native avec du code malveillant exécuté lors du chargement de la bibliothèque.
ÉVITEZ D’INTRODUIRE CE MODÈLE DANS LES APPLICATIONS ANDROID
Avec tout cela, Microsoft a indiqué qu’il collaborait avec Google pour créer des guides spécifiques pour les développeurs d’applications Android afin de les aider à “reconnaître et éviter ce modèle”.
De plus, les chercheurs de Microsoft ont également recommandé aux développeurs et aux analystes de sécurité d’utiliser le guide de sécurité des applications Android fourni par Google, ainsi que d’utiliser l’outil Android Lint, inclus avec le SDK Android et intégré à Android Studio, pour identifier et éviter d’éventuelles vulnérabilités. De la même manière, ils ont fait référence au service CodeQL de GitHub, qui offre également des capacités d’identification des vulnérabilités.
En revanche, concernant les utilisateurs, Microsoft a conseillé de maintenir les applications et leurs appareils à jour pour pouvoir disposer des versions avec les corrections de ladite vulnérabilité.
