Selon Google, des certificats Android racine émanant de Samsung, LF, Mediatek, Szroco et Revoview auraient fuité et seraient activement exploités par des pirates. Ces certificats servent à signer et à verrouiller le système d’exploitation Android, les apps natives, les apps système, ainsi que les applications officielles des constructeurs tiers. Ces clés attestent de l’authenticité de ces applications officielles.
Avec ces clés, les pirates peuvent ainsi faire passer des applications sous le radar des mécanismes de sécurité du système Android et permettre à des programmes malicieux de réaliser plus d’actions comme des vols de données personnelles, sans déclencher la moindre alarme. C’est un peu l’équivalent d’un chèque en blanc pour les pirates. Apparemment, le problème existerait “depuis de années” mais n’aurait été découvert que maintenant.
Les certificats Android racine de plusieurs constructeurs, activement exploités par des pirates
Certains constructeurs affirment toutefois que l’étendue du problème devrait être extrêmement limitée dans leur parc de smartphones. Samsung explique par exemple avoir “poussé des patches depuis 2016 après avoir pris connaissance du problème” et que “aucun incident en lien avec cette vulnérabilité potentielle n’a depuis été rapporté”.
Google confirme d’ailleurs que des mesures ont été prises chez les constructeurs : “nos partenaires OEM ont rapidement pris des mesures dès qu’ils ont été contacté. Les utilisateurs finaux seront protégés par les mesures implémentées par les partenaires OEM”. La firme détecte désormais les certificats en question dans Build Test Suite, et sur la plateforme Google Play Store.
Google assure ne pas avoir détecté de programme malveillant sur le Play Store utilisant ces certificats. Même si Google se montre rassurant, le problème reste grave, surtout sur les smartphones un peu anciens qui ne sont plus couverts par les mises à jour de sécurité. Selon nos confrères de PhoneArena, les utilisateurs qui installent des applications à partir de fichiers APK trouvés sur des sites comme APKMirror ou des magasins d’applications alternatifs, courent un risque accru d’installer un programme malveillant exploitant un de ces certificats racine.
De son côté, Google recommande à ses partenaires de ne plus utiliser les clés cryptographiques en question, qui doivent être remplacées par de nouvelles Ainsi que de mener un audit interne pour comprendre comment ces clés ont pu fuiter et éviter que cela ne se reproduise. En outre, la firme conseille aux fabricants de n’utiliser les clés Android système que sur une sélection réduite d’applications natives, en guise de protection additionnelle.
New APVI entry: platform certificates used to sign malware
Found by yours truly 🙂https://t.co/qiFMJW111A
— Łukasz (@maldr0id@infosec.exchange) (@maldr0id) November 30, 2022
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.