La fuite de plusieurs certificats de plate-forme Android appartenant à LG, Samsung et MediaTek peut permettre à des pirates de signer des applications malveillantes pour qu’elles soient acceptées par le système et disposent de privilèges élevés.
Plusieurs certificats de plate-forme Android ont fuité et peuvent désormais être utilisés par des pirates et des hackers. Ces certificats sont très importants, car ils sont employés par les fournisseurs d’appareils OEM Android pour signer numériquement les applications de base du système. Si un hacker dispose du certificat, il peut l’utiliser pour signer une application malveillante. Celle-ci sera alors acceptée par le système avec l’identifiant android.uid.system et pourra disposer de privilèges systèmes très élevés. Elle sera ainsi capable d’accéder à toutes les données de l’utilisateur. Cette fuite a été rendue officielle par Google, puis relayée par Łukasz Siewierski et le journaliste Mishaal Rahman sur Tweeter :
Folks, this is bad. Very, very bad. Hackers and/or malicious insiders have leaked the platform certificates of several vendors. These are used to sign system apps on Android builds, including the « android » app itself. These certs are being used to sign malicious Android apps! https://t.co/lhqZxuxVR9
— Mishaal Rahman (@MishaalRahman) December 1, 2022
Un pirate pourrait aussi faire passer une application malveillante comme une mise à jour d’une application officielle, par exemple l’assistant Bixby de Samsung, en utilisant ces certificats.
Google a donné quelques exemples de certificats compromis et de malwares qui les utilisent, mais uniquement sous la forme de données de hachage SHA256. En effectuant une recherche sur le site VirusTotal à partir de ces données, nos confrères de Bleeping Computer ont découvert que certains certificats de plate-forme correspondent aux constructeurs Samsung Electronics, LG Electronics, Revoview et MediaTek.
Google a déjà prévenu les fournisseurs OEM concernés et leur a demandé de changer les certificats de leurs plates-formes Android (rotation des clés publiques et privées), de faire une enquête pour comprendre comment la fuite s’est produite et de minimiser le nombre d’applications signées avec leurs certificats pour éviter de futurs incidents.
Interrogé par nos confrères de Bleeping Computer, Google s’est voulu rassurant et a précisé que toutes les parties concernées ont été informées des résultats et ont réagi en conséquence. Selon un porte-parole de l’entreprise :
« Les partenaires OEM ont rapidement mis en œuvre des mesures d’atténuation dès que nous avons signalé le compromis clé. Les utilisateurs finaux seront protégés par les mesures d’atténuation des utilisateurs mises en œuvre par les partenaires OEM »
Mais selon nos confrères de Bleeping Computer, Samsung n’aurait pas encore procédé au changement et utiliserait encore les certificats de plate-forme divulgués pour signer numériquement des applications.
Enfin, Google a précisé que des détections pour les clés compromises ont été ajoutées à Android Build Test Suite (BTS), qui permet de créer et d’analyser une image du système. De plus, des détections de logiciels malveillants sont présentes dans l’antivirus intégré Google Play Protect. Selon Google, il n’y a aucune indication que les malwares qui utilisent les certificats sont présents ou ont été présents dans le magasin d’application Play Store. Toutefois, l’éditeur recommande aux utilisateurs de passer à la dernière version d’Android pour bénéficier du meilleur niveau de sécurité.
Source :
Bleeping Computer