Location

Christopher Budd

This post is also available in: English (Anglais) 简体中文 (Chinois simplifié) 繁體中文 (Chinois traditionnel) 日本語 (Japonais) 한국어 (Coréen)

Aujourd’hui, les chercheurs  de l’Unit 42 de Palo Alto Networks livrent des détails à propos d’une nouvelle vulnérabilité de gravité élevée menaçant la plateforme Google Android. Des correctifs pour contrer cette vulnérabilité sont disponibles dans le cadre du bulletin de sécurité Android de septembre 2017. Cette nouvelle vulnérabilité n’affecte PAS la toute dernière version d’Android, Android 8.0 Oreo, mais toutes les versions antérieures. Il s’agit d’un logiciel malveillant qui exploite certains vecteurs décrits dans cet article. Pour l’heure, l’Unit 42 de Palo Alto Networks n’a pas connaissance de mesures actives prises à l’encontre de cette vulnérabilité. Étant donné qu’Android 8.0 est une version relativement récente, il convient que quasiment tous les utilisateurs Android agissent dès aujourd’hui en appliquant les mises à jour disponibles pour contrer cette vulnérabilité.

Ce qu’ont découvert nos chercheurs, c’est une vulnérabilité qui peut servir à déployer plus facilement une « overlay attack » (une attaque par superposition), un type de menace déjà familier de la plateforme Android. Ce type d’attaque peut servir à introduire un logiciel malveillant sur l’appareil Android de l’utilisateur. Il peut également être utilisé pour donner au logiciel malveillant le contrôle total de l’appareil. Dans le pire des cas, cette vulnérabilité pourrait rendre le téléphone inutilisable (ou « briqué ») ou pourrait servir à installer n’importe quel type de logiciel malveillant dont, entre autres, les ransomware ou les programmes voleurs d’informations. Autrement dit, cette vulnérabilité pourrait être utilisée pour prendre le contrôle d’appareils, les verrouiller et voler des informations après l’attaque.

Une « attaque par superposition » est une attaque dans laquelle une application affiche une fenêtre par-dessus d’autres fenêtres et applications exécutées sur l’appareil. Si l’opération aboutit, un pirate est en mesure de faire croire à l’utilisateur qu’il clique sur une fenêtre, alors qu’en réalité, il clique sur une autre. À la Figure 1, vous pouvez voir un exemple dans lequel un pirate fait croire à l’utilisateur qu’il installe un correctif, alors qu’en fait, l’utilisateur clique pour accorder tous les droits d’administration à Porn Droid sur l’appareil.

 

Figure 1 : Programme fantôme d’installation d’un correctif demandant les droits d’administration

Vous pouvez voir comment cette attaque peut servir à convaincre les utilisateurs d’installer à leur insu des logiciels malveillants sur leur appareil. Elle peut également servir à accorder tous les droits d’administration de l’appareil au logiciel malveillant.

Une attaque par superposition peut également être utilisée pour créer un déni de service sur l’appareil en faisant apparaître des fenêtres qui restent à l’écran. C’est précisément le type d’approche qu’utilisent les pirates pour mener les attaques de ransomware sur les appareils mobiles.

Il va sans dire qu’une attaque par superposition peut, en une seule offensive, accomplir les trois forfaits suivants :

  1. Tromper un utilisateur en installant un logiciel malveillant sur son appareil.
  2. Tromper un utilisateur en accordant au logiciel malveillant tous les droits administratifs sur l’appareil.
  3. Utiliser l’attaque par superposition pour verrouiller l’appareil et le garder en otage contre rançon.

Les attaques par superposition ne datent pas d’hier. Elles ont déjà fait parler d’elles. Mais, jusqu’à maintenant, sur la base des dernières recherches compilées dans le document de l’IEEE sur la sécurité et la confidentialité, tout le monde pensait que les applications malveillantes qui tentaient de mener des attaques par superposition devaient, pour réussir, contourner deux obstacles de taille :

  1. Elles doivent explicitement demander à l’utilisateur le droit de se superposer lorsqu’elles sont installées.
  2. Elles doivent être installées à partir de Google Play.

Il s’agit là de facteurs notoires de limitation des risques. C’est pourquoi les attaques par superposition n’ont pas été considérées comme une grave menace.

Cependant, la nouvelle recherche de l’Unit 42 montre qu’il est possible de perpétrer des attaques par superposition lorsque ces facteurs de réduction des risques ne s’appliquent pas. Si une application malveillante utilise cette nouvelle vulnérabilité, elle peut, selon nos chercheurs, mener une attaque par superposition en étant simplement installée sur l’appareil. Cela veut dire, en substance, que les applications malveillantes provenant de sites Web et d’app stores autres que Google Play peuvent perpétrer des attaques par superposition. Il est important de noter que les applications provenant de sites Web et d’app stores autres que Google Play représentent une source non négligeable de logiciels malveillants pour Android à l’échelle mondiale.

La vulnérabilité en question affecte une fonction Android connue sous le nom de « Toast ». Il s’agit d’un type de fenêtre de notification qui apparaît à l’écran (tel un toast). Le « toast » est généralement utilisé pour afficher des messages et des notifications par-dessus d’autres applications.

Contrairement aux autres types de fenêtre dans Android, le Toast ne requiert pas les mêmes autorisations. Aussi les facteurs de limitation des risques valables pour les attaques par superposition précédentes ne s’appliquent-ils pas ici. En outre, nos chercheurs ont expliqué dans quelle mesure il est possible de créer une fenêtre Toast se superposant à l’ensemble de l’écran de manière à l’utiliser pour créer l’équivalent fonctionnel des fenêtres d’application normales.

À la lumière de ces derniers travaux, le risque que représentent les attaques par superposition prend de l’ampleur. Par chance, la toute dernière version d’Android est immunisée face à ces attaques immédiates (« out of the box »). Cependant, la plupart des utilisateurs d’Android exécutent des versions vulnérables. Cela signifie qu’il est indispensable que tous les utilisateurs des versions d’Android antérieures à 8.0 mettent à jour leurs appareils. Vous pouvez vous renseigner sur la disponibilité d’un correctif et d’une mise à jour auprès de votre opérateur mobile ou du constructeur de l’appareil.

Là encore, une des meilleures protections contre les applications malveillantes consiste à obtenir vos applications Android exclusivement auprès de Google Play, car l’équipe de sécurité Android scrute l’apparition d’applications malveillantes et les supprime du store en premier lieu.

Recommandé

Security Operating Platform en bref

Security Operating Platform de Palo Alto Networks s’appuie sur l’automatisation pour contrer les cyberattaques. Des analyses précises vous permettent de rationaliser les tâches répétitives et de vous concentrer sur les priorités de l’entreprise. La cohésion de la sécurité du cloud, du réseau et des appareils mobiles est assurée grâce à l’intégration stricte de mesures et d’outils par le biais de la plateforme et des partenaires de l'écosystème. Les clients apprécient notre sécurité pour son efficacité et nous accordent la plus haute note de fidélité du secteur année après année. Téléchargez le document En bref pour en savoir plus.
  • 0
  • 229

Protections Palo Alto Networks® contre le ransomware Petya

C'est un grand jour pour Palo Alto Networks et nos partenaires, qui confirme notre essor dans la protection avancée des terminaux. Nous sommes très fiers d'apprendre que Traps est le grand vainqueur du palmarès CRN des produits de l'année 2016 dans la catégorie Sécurité des postes de travail et serveurs.
  • 0
  • 240

Descriptif de menace: Ransomware Petya

C'est un grand jour pour Palo Alto Networks et nos partenaires, qui confirme notre essor dans la protection avancée des terminaux. Nous sommes très fiers d'apprendre que Traps est le grand vainqueur du palmarès CRN des produits de l'année 2016 dans la catégorie Sécurité des postes de travail et serveurs.
  • 0
  • 235

Atout de la plateforme de sécurité de Nouvelle Génération: Une analyse réaliste

La conjugaison d’environnements informatiques modernes complexes et d’un paysage de menaces en rapide évolution a posé un sérieux problème à un grand nombre d’entreprises : contrôler les coûts tout en protégeant efficacement les systèmes situés au cœur de leur activité.
  • 0
  • 509

Les meilleures recommandations pour éviter les ransomwares

Les ransomwares sont passés du statut de nuisance de bas étage à celui d’activité criminelle sophistiquée pesant plusieurs millions de dollars, qui cible désormais les particuliers et les sociétés.
  • 0
  • 424

Méthodes courantes et vision d’ensemble d’une attaque par ransomware

En tant qu'entreprise de sécurité de nouvelle génération, nous nous engageons à maintenir la confiance durant cette époque du numérique. Pour cela, nous assurons une utilisation sécurisée de toutes les applications et éliminons les cyber-failles pour des dizaines de milliers d'organisations à travers le monde..
  • 0
  • 626
  1. Palo Alto Networks – Leader mondial de la cybersécurité – France
  2. 리소스 센터
  3. Description de la menace : Appliquez un correctif dès aujourd’hui et ne vous brûlez pas les doigts avec une superposition Toast Android

Also keep up to date with

Notifications

Description de la menace : Appliquez un correctif dès aujourd’hui et ne vous brûlez pas les doigts avec une superposition Toast Android

Description de la menace : Appliquez un correctif dès aujourd’hui et ne vous brûlez pas les doigts avec une superposition Toast Android

Description de la menace : Appliquez un correctif dès aujourd’hui et ne vous brûlez pas les doigts avec une superposition Toast Android

© 2017 Palo Alto Networks, Inc. All rights reserved.