Pour gérer vos consentements :

Sécurité IT : Android visé par le bas

Un nouveau rapport signé IBM illustre la propension grandissante des cybercriminels à exploiter des failles dans la mémoire basse d’Android.

Les équipes X-Force du groupe informatique américain se sont intéressées à l’une fonctionnalités de base de l’OS de Google : la sandbox, qui s’appuie sur les capacités d’isolation du noyau Linux pour exécuter les applications dans des environnements séparés du reste du système.

Cette sécurisation rend plus difficile l’interaction entre les applications. Pour maintenir un minimum d’interopérabilité (en permettant par exemple au navigateur de lancer Google Play lorsque l’utilisateur clique sur un lien), il existe, dans l’architecture d’Android, une fonctionnalité baptisée IAC, pour « Inter-App Communication ».

Ce dispositif permet de transférer des « messages » encapsulés sous la forme d’objets. Pour implémenter IAC et gérer la transmission des données entre les processus, Android utilise le pilote Linux Binder.

Les objets en question sont d’abord sérialisés, sous la forme de bits ou d’octets. Une fois transmises, ces valeurs atomiques sont « désérialisées » pour recréer une copie conforme de l’information d’origine.

La fragilité de ce mécanisme s’était déjà illustrée en 2014 avec la découverte, dans toutes les versions d’Android antérieures à la 5.0 « Lollipop », d’une vulnérabilité. En l’occurrence, une vérification insuffisante des objets pour déterminer s’ils pouvaient effectivement être sérialisés.

Cette brèche – colmatée depuis lors – permettait d’insérer du code arbitraire dans une application ou un service. On en retrouve le principe dans les découvertes d’IBM (confer le descriptif technique au format PDF), mais sous une forme plus avancée.

Les chercheurs de Big Blue assurent que toutes les versions d’Android à partir de la 4.3 « Jelly Bean » sont concernées (y compris la preview d’Android M) ; soit plus de 55 % des appareils équipés de l’OS de Google, selon le dernier pointage officiel de la firme.

Ils tempèrent toutefois leurs propos : la faille (CVE-2015-3825) a été corrigée dans le code source d’Android 4.4, 5.0, 5.1 et M, ainsi que dans les services Google Play, où elle résidait également.

C’est plus compliqué avec les éditeurs tiers, qui réagissent en ordre dispersé. Au moins 6 kits de développement sont affectés, généralement à cause d’une faiblesse dans l’outil SWIG (Simplified Wrapper and Interface Generator), qui assure l’interopérabilité entre le code C/C++ et d’autres langage comme Java. Sur les quelque 30 000 applications examinées par IBM, plus d’une centaine étaient vulnérables au moment des tests.

Trois scénarios d’exploitation concrets ont été établis. En premier lieu, le remplacement d’une application par un malware, puis le redémarrage forcé de l’appareil en modifiant la valeur sys.powerctl via la fonction property_set de la bibliothèque libcutil.

Deuxième possibilité, cibler le processus system_server, qui bénéficie de privilèges étendus, à tel point qu’il est le seul à pouvoir modifier la politique de sécurité SELinux (/data/security/current).

Sur certains terminaux, les pirates peuvent exécuter du code directement au niveau du noyau, si la compilation s’est faite avec le support des modules tiers (option CONFIG_MODULES).

Crédit photo : Navidim – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago