Une faille de sécurité a été découverte dans le système de communication des applications sur Android. La brèche permet à une app malveillante de voler des données et de prendre le contrôle d’une application légitime, met en garde Microsoft. L’éditeur américain révèle que des milliards de smartphones sont touchés.
Microsoft a découvert une vulnérabilité dans le fonctionnement de plusieurs applications Android populaires. La faille de sécurité, baptisée « Dirty stream » par les chercheurs, permet à une application malveillante d’entrer en contact et de piéger certaines applications légitimes.
À lire aussi : Ce malware Android disparaît après avoir siphonné les données de votre smartphone
Une faille dans la manière dont les apps Android communiquent
La cyberattaque repose sur le fournisseur de contenu d’Android, un composant crucial qui agit comme intermédiaire et facilite le partage et l’accès sécurisés aux données entre différentes applications et services. Ce composant comprend un système d’autorisations. Mal configurées, ces autorisations permettent de contourner les mécanismes de sécurité du système d’exploitation. Comme l’explique Microsoft, une « mauvaise implémentation » du fournisseur « peut introduire des vulnérabilités qui pourraient permettre de contourner les restrictions de lecture/écriture dans le répertoire personnel d’une application ».
Concrètement, la faille permet à une application malveillante de transmettre un fichier avec un nom ou un chemin d’accès manipulé à une autre application. L’application cible reçoit le fichier et fait confiance au nom ou au chemin d’accès trompeur. Elle exécute ou stocke alors le fichier malveillant dans un répertoire critique.
Le rapport de Microsoft indique que la brèche laisse l’attaquant « écraser des fichiers dans le répertoire personnel de l’application vulnérable ». Une fois que c’est fait, l’application malveillante est capable d’exécuter arbitrairement du code et d’obtenir « un contrôle total sur le comportement d’une application ». Par ailleurs, le pirate peut s’octroyer « un accès aux comptes de l’utilisateur et aux données sensibles » stockées sur le smartphone.
Quelles applications Android sont affectées par Dirty Stream ?
Microsoft a identifié plusieurs applications vulnérables à une attaque « Dirty stream » sur le Play Store. Ces applications cumulent plus de quatre milliards d’installations. Parmi les apps touchées, on trouve File Manager, le gestionnaire de fichiers de Xiaomi, et WPS Office, une suite bureautique conçue par la société chinoise Kingsoft. Alertés par Microsoft, Xiaomi et Kingsoft ont déployé des correctifs.
De l’avis de Microsoft, le « modèle de vulnérabilité » de « Dirty stream » risque de se retrouver dans le code de plusieurs autres applications Android. C’est pourquoi le groupe américain encourage « les développeurs et les éditeurs à vérifier leurs applications à la recherche de problèmes similaires ».
Google revoit ses directives
En réaction, Google a mis à jour ses consignes de sécurité à destination des développeurs d’applications Android. Ces directives visent à prévenir l’apparition de vulnérabilités dans le fonctionnement du fournisseur de contenus des applications Android. Elles s’appuient directement sur les constatations des chercheurs de Microsoft.
Google recommande surtout d’« ignorer le nom de fichier » fourni par l’application communicante et d’« utiliser à la place son propre identifiant unique généré en interne comme nom de fichier ». Cette précaution coupe l’herbe sous le pied d’éventuels attaquants. Pour Microsoft, la meilleure solution reste d’opter pour « des noms générés aléatoirement, de sorte que même dans le cas où le contenu d’un flux entrant est mal formé, il n’altérera pas l’application ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Microsoft