Google reconnait ne pas avoir corrigé une faille

Google a reconnu qu’il y avait un grave défaut de sécurité dans Android qui permettrait aux attaquants de cibler les utilisateurs sans méfiance avec des logiciels malveillants, mais cela ne sera résolu que dans la prochaine version majeure d’Android.

Trouvé par CheckPoint, le défaut profite de la façon dont Android fonctionne pour exposer les utilisateurs à certains types d’attaques de logiciels malveillants, y compris « ransomware, logiciels malveillants et adwares bancaires ».

Google a déjà confirmé à la société de sécurité que le problème est déjà traité dans Android O. C’est bon, mais aussi de mauvaises nouvelles. Tous les appareils Android susceptibles d’être susceptibles d’être attaqués seront évolutifs pour Android O, et même s’ils le sont, ces mises à niveau n’arrivent jamais en temps opportun.

La faille ne fonctionne qu’avec les applications Google Play

Cependant, le défaut exposé par CheckPoint ne fonctionne qu’avec les applications installées directement à partir du magasin Google Play. Cela signifie que les pirates doivent trouver un moyen de contourner la sécurité anti-malware de Google Play Store avant de profiter de la faille.

À partir de Android 6.0 Marshmallow, Google a apporté des modifications à la façon dont les autorisations de l’application fonctionnent, en divisant les autorisations requises par les applications dans diverses catégories. Certaines d’entre elles sont qualifiées de « dangereuses » et elles ne sont accordées qu’en cours d’exécution. Les utilisateurs doivent ensuite approuver ces autorisations la première fois qu’une ressource dangereuse est requise.

CheckPoint explique qu’il existe également une catégorie d’autorisations qui ne contient qu’une seule permission appelée SYSTEM_ALERT_WINDOW, que l’utilisateur doit accorder manuellement – ou du moins c’est comme ça que c’était censé fonctionner. L’autorisation permettrait à une application d’afficher sur toute autre application sans en aviser l’utilisateur. Mais Google s’est vite rendu compte que certaines applications nécessiteraient une telle fonctionnalité activée après l’installation, comme la fonctionnalité de chat de Messenger de Facebook. Google a donc fait en sorte que l’autorisation SYSTEM_ALERT_WINDOW soit activée par défaut sur les applications provenant du Play Store.

Quel est le problème de SYSTEM_ALERT_WINDOW ?

Cela implique un potentiel important pour plusieurs techniques malveillantes, telles que l’affichage d’annonces frauduleuses, d’escroqueries de phishing, de clics et de superposition, qui sont courantes avec les chevaux de Troie bancaires. Il peut également être utilisé par ransomware pour créer un écran persistant sur le dessus qui empêchera les utilisateurs non techniques d’accéder à leurs appareils.

CheckPoint affirme que 74% de ransomware, 57% de logiciels publicitaires et 14% de logiciels malveillants de banquier abusent de la fonctionnalité. « Ce n’est clairement pas une menace mineure, mais une tactique réelle utilisée dans la nature », explique la société.

Dans Android O, Google bloquera les applications pour abuser de l’autorisation en ajoutant une nouvelle autorisation restrictive qui empêchera toute application d’être positionnée au-dessus de toutes les fenêtres critiques du système.

Voir aussi : Android : les failles WikiLeaks sont corrigées