Ignite'21 November 15-18: Register today for our premier annual event.

Christopher Budd

This post is also available in: English (Anglais) 简体中文 (Chinois simplifié) 繁體中文 (Chinois traditionnel) 日本語 (Japonais) 한국어 (Coréen)

Aujourd’hui, les chercheurs  de l’Unit 42 de Palo Alto Networks livrent des détails à propos d’une nouvelle vulnérabilité de gravité élevée menaçant la plateforme Google Android. Des correctifs pour contrer cette vulnérabilité sont disponibles dans le cadre du bulletin de sécurité Android de septembre 2017. Cette nouvelle vulnérabilité n’affecte PAS la toute dernière version d’Android, Android 8.0 Oreo, mais toutes les versions antérieures. Il s’agit d’un logiciel malveillant qui exploite certains vecteurs décrits dans cet article. Pour l’heure, l’Unit 42 de Palo Alto Networks n’a pas connaissance de mesures actives prises à l’encontre de cette vulnérabilité. Étant donné qu’Android 8.0 est une version relativement récente, il convient que quasiment tous les utilisateurs Android agissent dès aujourd’hui en appliquant les mises à jour disponibles pour contrer cette vulnérabilité.

Ce qu’ont découvert nos chercheurs, c’est une vulnérabilité qui peut servir à déployer plus facilement une « overlay attack » (une attaque par superposition), un type de menace déjà familier de la plateforme Android. Ce type d’attaque peut servir à introduire un logiciel malveillant sur l’appareil Android de l’utilisateur. Il peut également être utilisé pour donner au logiciel malveillant le contrôle total de l’appareil. Dans le pire des cas, cette vulnérabilité pourrait rendre le téléphone inutilisable (ou « briqué ») ou pourrait servir à installer n’importe quel type de logiciel malveillant dont, entre autres, les ransomware ou les programmes voleurs d’informations. Autrement dit, cette vulnérabilité pourrait être utilisée pour prendre le contrôle d’appareils, les verrouiller et voler des informations après l’attaque.

Une « attaque par superposition » est une attaque dans laquelle une application affiche une fenêtre par-dessus d’autres fenêtres et applications exécutées sur l’appareil. Si l’opération aboutit, un pirate est en mesure de faire croire à l’utilisateur qu’il clique sur une fenêtre, alors qu’en réalité, il clique sur une autre. À la Figure 1, vous pouvez voir un exemple dans lequel un pirate fait croire à l’utilisateur qu’il installe un correctif, alors qu’en fait, l’utilisateur clique pour accorder tous les droits d’administration à Porn Droid sur l’appareil.

 

Figure 1 : Programme fantôme d’installation d’un correctif demandant les droits d’administration

Vous pouvez voir comment cette attaque peut servir à convaincre les utilisateurs d’installer à leur insu des logiciels malveillants sur leur appareil. Elle peut également servir à accorder tous les droits d’administration de l’appareil au logiciel malveillant.

Une attaque par superposition peut également être utilisée pour créer un déni de service sur l’appareil en faisant apparaître des fenêtres qui restent à l’écran. C’est précisément le type d’approche qu’utilisent les pirates pour mener les attaques de ransomware sur les appareils mobiles.

Il va sans dire qu’une attaque par superposition peut, en une seule offensive, accomplir les trois forfaits suivants :

  1. Tromper un utilisateur en installant un logiciel malveillant sur son appareil.
  2. Tromper un utilisateur en accordant au logiciel malveillant tous les droits administratifs sur l’appareil.
  3. Utiliser l’attaque par superposition pour verrouiller l’appareil et le garder en otage contre rançon.

Les attaques par superposition ne datent pas d’hier. Elles ont déjà fait parler d’elles. Mais, jusqu’à maintenant, sur la base des dernières recherches compilées dans le document de l’IEEE sur la sécurité et la confidentialité, tout le monde pensait que les applications malveillantes qui tentaient de mener des attaques par superposition devaient, pour réussir, contourner deux obstacles de taille :

  1. Elles doivent explicitement demander à l’utilisateur le droit de se superposer lorsqu’elles sont installées.
  2. Elles doivent être installées à partir de Google Play.

Il s’agit là de facteurs notoires de limitation des risques. C’est pourquoi les attaques par superposition n’ont pas été considérées comme une grave menace.

Cependant, la nouvelle recherche de l’Unit 42 montre qu’il est possible de perpétrer des attaques par superposition lorsque ces facteurs de réduction des risques ne s’appliquent pas. Si une application malveillante utilise cette nouvelle vulnérabilité, elle peut, selon nos chercheurs, mener une attaque par superposition en étant simplement installée sur l’appareil. Cela veut dire, en substance, que les applications malveillantes provenant de sites Web et d’app stores autres que Google Play peuvent perpétrer des attaques par superposition. Il est important de noter que les applications provenant de sites Web et d’app stores autres que Google Play représentent une source non négligeable de logiciels malveillants pour Android à l’échelle mondiale.

La vulnérabilité en question affecte une fonction Android connue sous le nom de « Toast ». Il s’agit d’un type de fenêtre de notification qui apparaît à l’écran (tel un toast). Le « toast » est généralement utilisé pour afficher des messages et des notifications par-dessus d’autres applications.

Contrairement aux autres types de fenêtre dans Android, le Toast ne requiert pas les mêmes autorisations. Aussi les facteurs de limitation des risques valables pour les attaques par superposition précédentes ne s’appliquent-ils pas ici. En outre, nos chercheurs ont expliqué dans quelle mesure il est possible de créer une fenêtre Toast se superposant à l’ensemble de l’écran de manière à l’utiliser pour créer l’équivalent fonctionnel des fenêtres d’application normales.

À la lumière de ces derniers travaux, le risque que représentent les attaques par superposition prend de l’ampleur. Par chance, la toute dernière version d’Android est immunisée face à ces attaques immédiates (« out of the box »). Cependant, la plupart des utilisateurs d’Android exécutent des versions vulnérables. Cela signifie qu’il est indispensable que tous les utilisateurs des versions d’Android antérieures à 8.0 mettent à jour leurs appareils. Vous pouvez vous renseigner sur la disponibilité d’un correctif et d’une mise à jour auprès de votre opérateur mobile ou du constructeur de l’appareil.

Là encore, une des meilleures protections contre les applications malveillantes consiste à obtenir vos applications Android exclusivement auprès de Google Play, car l’équipe de sécurité Android scrute l’apparition d’applications malveillantes et les supprime du store en premier lieu.

Livre blanc

Livre blanc Cortex XDR

Entre les ransomwares, le cyberespionnage, les attaques sans fichier et les compromissions de données sensibles, les équipes de sécurité sont confrontées à un nombre de menaces de plus en plus vertigineux. Pour les analystes sécurité en particulier, cette multiplication des risques se traduit surtout par une augmentation des tâches répétitives, mais néanmoins nécessaires au tri quotidien des incidents et d’un backlog d’alertes qui n’en finit plus.

  • 123

Livre blanc

ZERO TRUST : IMPLÉMENTATION SIMPLIFIÉE EN CINQ ÉTAPES

Pour simplifier de votre réseau Zero Trust, nous vous proposons une méthodologie en cinq étapes. Le présent livre blanc détaille chacune d’elles et vous explique comment la plateforme intégrée de Palo Alto Networks vous accompagne tout au long de ce parcours pour simplifier la protection de vos ressources stratégiques.

  • 1427

Feuille de données

Prisma Cloud : En bref

Prisma™ Cloud est la plateforme de sécurité cloud-native la plus complète du marché.

  • 1252

Feuille de données

Services managés de détection et de réponse (MDR)

Faites confiance à nos partenaires MDR pour agir en appui de vos équipes de sécurité opérationnelle. Équipés de la technologie Cortex XDR™, ils apportent toute l'expertise et les ressources nécessaires pour libérer vos équipes de certaines pressions du quotidien. Présents à vos côtés 24h/7j, ils gèrent proactivement les alertes, traquent les menaces et répondent aux incidents sur les terminaux, le réseau et les environnements cloud. Plus besoin d'attendre des années ! Avec nos partenaires, vous êtes opérationnels en à peine quelques semaines. Côté SLA, ils vous garantiront des délais moyens de détection et de réponse (MTTD et MTTR) inférieurs à une heure.

  • 1558

Livre blanc

XDR REDÉFINITVOS OPÉRATIONS DE SÉCURITÉ

Toutes les équipes de sécurité ont un objectif commun : protéger les données et l’infrastructure de leur entreprise contreles dommages, les accès non-autorisés et les utilisations abusives. En ce sens, les ingénieurs et architectes de sécurité ont traditionnellement adopté une approche multi-niveau de la prévention, par une superposition des différents rideaux défensifs. Avec l’automatisation et la complexification accrues des attaques, cette approche a elle aussi évolué de manière à offrir plusieurs couches de visibilité à travers diverses solutions : les systèmes de détection et de réponse sur les terminaux (EDR), les systèmes d’analyse du trafic réseau (NTA), les systèmes de gestion des évènements et de sécurité de l’information (SIEM).

  • 392

Livre blanc

Protection du cloud : le business case de Prisma Cloud

Prisma™ Cloud est un service de mise en conformité et de protection renforcée sur Google Cloud Platform (GCP™), Amazon Web Services (AWS®) et Microsoft Azure®. Son approche innovante s’appuie sur le machine learning pour corréler des données de sécurité disparates et offrir une visibilité complète qui permet de détecter et de répondre plus rapidement aux menaces, y compris dans les environnements multicloud les plus fragmentés. Avec Prisma Cloud, les entreprises peuvent assurer leur conformité et gérer leur sécurité aux niveaux stratégique et opérationnel sur tous leurs environnements de cloud public.

  • 178

Entreprise

MENTIONS LÉGALES

Compte

  • Facebook
  • Linkedin
  • Twitter
  • Youtube

Copyright © Palo Alto Networks 2021. Tous droits réservés.