Crise Russie-Ukraine : prémunissez-vous contre les cyberattaques
  • Nous contacter
  • Ressources
  • Support
  • Victime d'une attaque ?
Palo Alto Networks logo
  • Sécurité du réseau
  • Sécurité du cloud
  • Opérations de sécurité
  • Plus
  • FR
    Language
  • Nous contacter
  • Ressources
  • Support
  • Commencer

Description de la menace : Appliquez un correctif dès aujourd’hui et ne vous brûlez pas les doigts avec une superposition Toast Android

Christopher Budd sept. 19, 2017 at 11:40 AM

This post is also available in: English (Anglais) 简体中文 (Chinois simplifié) 繁體中文 (Chinois traditionnel) 日本語 (Japonais) 한국어 (Coréen)

Aujourd’hui, les chercheurs  de l’Unit 42 de Palo Alto Networks livrent des détails à propos d’une nouvelle vulnérabilité de gravité élevée menaçant la plateforme Google Android. Des correctifs pour contrer cette vulnérabilité sont disponibles dans le cadre du bulletin de sécurité Android de septembre 2017. Cette nouvelle vulnérabilité n’affecte PAS la toute dernière version d’Android, Android 8.0 Oreo, mais toutes les versions antérieures. Il s’agit d’un logiciel malveillant qui exploite certains vecteurs décrits dans cet article. Pour l’heure, l’Unit 42 de Palo Alto Networks n’a pas connaissance de mesures actives prises à l’encontre de cette vulnérabilité. Étant donné qu’Android 8.0 est une version relativement récente, il convient que quasiment tous les utilisateurs Android agissent dès aujourd’hui en appliquant les mises à jour disponibles pour contrer cette vulnérabilité.

Ce qu’ont découvert nos chercheurs, c’est une vulnérabilité qui peut servir à déployer plus facilement une « overlay attack » (une attaque par superposition), un type de menace déjà familier de la plateforme Android. Ce type d’attaque peut servir à introduire un logiciel malveillant sur l’appareil Android de l’utilisateur. Il peut également être utilisé pour donner au logiciel malveillant le contrôle total de l’appareil. Dans le pire des cas, cette vulnérabilité pourrait rendre le téléphone inutilisable (ou « briqué ») ou pourrait servir à installer n’importe quel type de logiciel malveillant dont, entre autres, les ransomware ou les programmes voleurs d’informations. Autrement dit, cette vulnérabilité pourrait être utilisée pour prendre le contrôle d’appareils, les verrouiller et voler des informations après l’attaque.

Une « attaque par superposition » est une attaque dans laquelle une application affiche une fenêtre par-dessus d’autres fenêtres et applications exécutées sur l’appareil. Si l’opération aboutit, un pirate est en mesure de faire croire à l’utilisateur qu’il clique sur une fenêtre, alors qu’en réalité, il clique sur une autre. À la Figure 1, vous pouvez voir un exemple dans lequel un pirate fait croire à l’utilisateur qu’il installe un correctif, alors qu’en fait, l’utilisateur clique pour accorder tous les droits d’administration à Porn Droid sur l’appareil.

 

Figure 1 : Programme fantôme d’installation d’un correctif demandant les droits d’administration

Vous pouvez voir comment cette attaque peut servir à convaincre les utilisateurs d’installer à leur insu des logiciels malveillants sur leur appareil. Elle peut également servir à accorder tous les droits d’administration de l’appareil au logiciel malveillant.

Une attaque par superposition peut également être utilisée pour créer un déni de service sur l’appareil en faisant apparaître des fenêtres qui restent à l’écran. C’est précisément le type d’approche qu’utilisent les pirates pour mener les attaques de ransomware sur les appareils mobiles.

Il va sans dire qu’une attaque par superposition peut, en une seule offensive, accomplir les trois forfaits suivants :

  1. Tromper un utilisateur en installant un logiciel malveillant sur son appareil.
  2. Tromper un utilisateur en accordant au logiciel malveillant tous les droits administratifs sur l’appareil.
  3. Utiliser l’attaque par superposition pour verrouiller l’appareil et le garder en otage contre rançon.

Les attaques par superposition ne datent pas d’hier. Elles ont déjà fait parler d’elles. Mais, jusqu’à maintenant, sur la base des dernières recherches compilées dans le document de l’IEEE sur la sécurité et la confidentialité, tout le monde pensait que les applications malveillantes qui tentaient de mener des attaques par superposition devaient, pour réussir, contourner deux obstacles de taille :

  1. Elles doivent explicitement demander à l’utilisateur le droit de se superposer lorsqu’elles sont installées.
  2. Elles doivent être installées à partir de Google Play.

Il s’agit là de facteurs notoires de limitation des risques. C’est pourquoi les attaques par superposition n’ont pas été considérées comme une grave menace.

Cependant, la nouvelle recherche de l’Unit 42 montre qu’il est possible de perpétrer des attaques par superposition lorsque ces facteurs de réduction des risques ne s’appliquent pas. Si une application malveillante utilise cette nouvelle vulnérabilité, elle peut, selon nos chercheurs, mener une attaque par superposition en étant simplement installée sur l’appareil. Cela veut dire, en substance, que les applications malveillantes provenant de sites Web et d’app stores autres que Google Play peuvent perpétrer des attaques par superposition. Il est important de noter que les applications provenant de sites Web et d’app stores autres que Google Play représentent une source non négligeable de logiciels malveillants pour Android à l’échelle mondiale.

La vulnérabilité en question affecte une fonction Android connue sous le nom de « Toast ». Il s’agit d’un type de fenêtre de notification qui apparaît à l’écran (tel un toast). Le « toast » est généralement utilisé pour afficher des messages et des notifications par-dessus d’autres applications.

Contrairement aux autres types de fenêtre dans Android, le Toast ne requiert pas les mêmes autorisations. Aussi les facteurs de limitation des risques valables pour les attaques par superposition précédentes ne s’appliquent-ils pas ici. En outre, nos chercheurs ont expliqué dans quelle mesure il est possible de créer une fenêtre Toast se superposant à l’ensemble de l’écran de manière à l’utiliser pour créer l’équivalent fonctionnel des fenêtres d’application normales.

À la lumière de ces derniers travaux, le risque que représentent les attaques par superposition prend de l’ampleur. Par chance, la toute dernière version d’Android est immunisée face à ces attaques immédiates (« out of the box »). Cependant, la plupart des utilisateurs d’Android exécutent des versions vulnérables. Cela signifie qu’il est indispensable que tous les utilisateurs des versions d’Android antérieures à 8.0 mettent à jour leurs appareils. Vous pouvez vous renseigner sur la disponibilité d’un correctif et d’une mise à jour auprès de votre opérateur mobile ou du constructeur de l’appareil.

Là encore, une des meilleures protections contre les applications malveillantes consiste à obtenir vos applications Android exclusivement auprès de Google Play, car l’équipe de sécurité Android scrute l’apparition d’applications malveillantes et les supprime du store en premier lieu.


Feuille de données

Prisma Cloud : En bref

Prisma™ Cloud est la plateforme de sécurité cloud-native la plus complète du marché.

December 8, 2020
  • 1731

Livre blanc

Livre blanc Cortex XDR

Entre les ransomwares, le cyberespionnage, les attaques sans fichier et les compromissions de données sensibles, les équipes de sécurité sont confrontées à un nombre de menaces de plus en plus vertigineux. Pour les analystes sécurité en particulier, cette multiplication des risques se traduit surtout par une augmentation des tâches répétitives, mais néanmoins nécessaires au tri quotidien des incidents et d’un backlog d’alertes qui n’en finit plus.

October 4, 2021
  • 483

Livre blanc

ZERO TRUST : IMPLÉMENTATION SIMPLIFIÉE EN CINQ ÉTAPES

Pour simplifier de votre réseau Zero Trust, nous vous proposons une méthodologie en cinq étapes. Le présent livre blanc détaille chacune d’elles et vous explique comment la plateforme intégrée de Palo Alto Networks vous accompagne tout au long de ce parcours pour simplifier la protection de vos ressources stratégiques.

September 23, 2019
  • 1648

Feuille de données

Services managés de détection et de réponse étendues (XMDR)

Services managés de détection et de réponse étendues (XMDR)

March 3, 2022
  • 365

rc.type.other

Document technique Cortex XDR Identity Analytics

Cortex XDR Identity Analytics détecte les compromissions de compte et les menaces internes, premiers symptômes d'une cyberattaque. Pour ce faire, il exploite toute la puissance du machine learning dans le cloud pour collecter et analyser un très vaste ensemble de données d’identité.

October 14, 2021
  • 26

Livre blanc

Atout de la plateforme de sécurité de Nouvelle Génération: Une analyse réaliste

La conjugaison d’environnements informatiques modernes complexes et d’un paysage de menaces en rapide évolution a posé un sérieux problème à un grand nombre d’entreprises : contrôler les coûts tout en protégeant efficacement les systèmes situés au cœur de leur activité.

August 16, 2016
  • 826

Anticiper les menaces

En tant que membre, nous vous tiendrons informés. Recevez des invitations exclusives à des événements, des alertes sur les menaces de l’Unité 42 et les derniers conseils en matière de cybersécurité.

En soumettant ce formulaire, vous acceptez nos Conditions d’utilisation et reconnaissez notre Déclaration de confidentialité

Entreprise

  • Entreprise
  • Tech Docs
  • Carrières
  • Signaler une vulnérabilité
  • Sitemap

MENTIONS LÉGALES

  • Vie privée
  • Conditions d'utilisation
  • Conformité au GDPR

Compte

  • Partenaire de services de sécurité gérés
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

Copyright © Palo Alto Networks 2022. Tous droits réservés.