Les fuites de certificats Android ont rendu des millions de smartphones vulnérables aux logiciels malveillants

Que souhaitez-vous savoir

• Il a été découvert que des clés Android cruciales pour signer les applications système avaient été divulguées.
• Cela pourrait fournir aux acteurs malveillants un moyen simple d'injecter des logiciels malveillants dans les appareils Android via des applications.
• La vulnérabilité était apparemment 

Une fuite majeure d'Android a rendu les smartphones de Samsung et LG vulnérables aux logiciels malveillants, selon un Googleur qui a mis le problème en lumière.

Selon Łukasz Siewierski (via Mishaal Rahman), un employé de Google et rétro-ingénieur des logiciels malveillants, les certificats de plusieurs équipementiers Android ont été divulgués, ce qui aurait pu être utilisé pour injecter des logiciels malveillants dans les smartphones. Cette vulnérabilité a affecté les principales sociétés Android, notamment Samsung, LG et MediaTek.

Des entreprises comme Samsung utilisent des certificats de plate-forme pour valider leurs applications à utiliser dans Android. Comme décrit dans le

Traqueur d'incidents, les applications signées avec ce certificat s'exécutent avec un "ID utilisateur hautement privilégié - android.uid.system - et détient les autorisations système, y compris les autorisations d'accès aux données utilisateur. Toute autre application signée avec le même certificat peut déclarer qu'elle souhaite s'exécuter avec le même identifiant utilisateur, ce qui lui donne le même niveau d'accès au système d'exploitation Android."

Fondamentalement, les applications utilisant ces certificats des principaux OEM pourraient accéder aux autorisations au niveau du système sans intervention de l'utilisateur. C'est particulièrement problématique car les mauvais acteurs pourraient déguiser leurs applications en applications système avec cette méthode. Les applications au niveau du système ont des autorisations étendues et peuvent généralement faire/voir des choses sur votre téléphone qu'aucune autre application ne peut. Dans certains cas, ces applications ont plus d'autorisations que vous.

Par exemple, des logiciels malveillants pourraient être injectés dans quelque chose comme l'application de messagerie Samsung. Cela pourrait être signé avec la clé Samsung. Il apparaîtrait alors comme une mise à jour, passerait tous les contrôles de sécurité lors de l'installation et donnerait aux logiciels malveillants un accès presque total à vos données utilisateur sur d'autres applications.

Il y a de bonnes nouvelles, car l'équipe de sécurité Android souligne que les OEM ont apparemment résolu le problème.

"Les partenaires OEM ont rapidement mis en œuvre des mesures d'atténuation dès que nous avons signalé le compromis clé. Les utilisateurs finaux seront protégés par les mesures d'atténuation des utilisateurs mises en œuvre par les partenaires OEM. Google a mis en place de larges détections pour les logiciels malveillants dans Build Test Suite, qui analyse les images système. Google Play Protect détecte également le logiciel malveillant. Rien n'indique que ce malware est ou était sur le Google Play Store. Comme toujours, nous conseillons aux utilisateurs de s'assurer qu'ils utilisent la dernière version d'Android."

Samsung a également déclaré Police androïde dans un communiqué indiquant que des mises à jour ont été publiées depuis 2016 et qu'"il n'y a eu aucun incident de sécurité connu concernant cette vulnérabilité potentielle".

Dans tous les cas, en raison des protections fournies par Google Play Protect, les utilisateurs ne devraient pas avoir à se soucier de ces vulnérabilités des applications qu'ils installent depuis le Play Store. Cependant, vous devez toujours vous méfier des applications de chargement latéral sur votre téléphone Android et assurez-vous toujours que vous utilisez la dernière version d'Android.