Android demeure un casse-tête pour la sécurité IT

MobilitéRisquesSécuritéSmartphonesTablettesVirus
securite-terminaux-android-check-point
8 53

Revers du succès ? Des centaines de millions de terminaux Android sont confrontés à des vulnérabilités. Entre logiciels malveillants, faille Linux et drivers de puces Qualcomm…

L’un des principaux talons d’Achille d’Android demeure la sécurité. Tous les éditeurs de solutions de protection des terminaux numériques s’accordent à le dire, même si l’ampleur véritable des risques peut être débattue sur une base de 1,4 milliard de terminaux Android déployés dans le monde.

Dans son rapport semestriel 2016 sur les menaces IT, un fournisseur de solutions anti-virus comme G DATA a recensé 1,7 million de nouveaux échantillons de codes malveillants rien que pour Android. Un volume en hausse de près de 30% par rapport à la même période l’an passé mais pas vraiment parlant pour le grand public.

L’angle le plus intéressant consiste à recenser les assauts perçus par le grand public sur leurs terminaux. L’un des tops du classement dans le courant de l’été, ce sont les attaques par campagne de « malvertising ». C’est un mélange entre « malware » (logiciel malveillant) et « advertising » (publicité), que l’on retrouve souvent en téléchargeant des apps proposant du contenu illégal (comme la vidéo en streaming).

Conséquence : « Lors de la navigation Internet, de fausses alertes d’infections virales amènent la victime vers l’installation d’applications inutiles, voire dangereuses », estime G DATA. Par mégarde, on se retrouve à télécharger en pop-up des applications de nettoyage, d’optimisation ou de faux antivirus.

Faille dans Linux qui a des répercussions sur Android

Les plaies recensées d’Android sont à évaluer dans un écosystème de développement dense et complexe. Et elles sont souvent liées à d’autres composants logiciels ou hardware.

Prenons le cas de l’alerte donnée par Lookout (fournisseur américain de solutions de scurité mobile) à la mi-août. Une faille Linux a été identifiée par des chercheurs de l’Université de Californie, Riverside et le laboratoire de recherche de l’armée américaine et dévoilée lors de la récente conférence USENIX Security 2016.

Selon Silicon.fr, cette vulnérabilité dans le protocole de transmission TCP est apparue avec l’implémentation d’un nouveau standard (RFC 5961) sous Linux. Ce qui permet à un assaillant potentiel d’identifier des machines communiquant entre elles et de préparer des actes malveillants : cyber-espionnage ou attaque du type Man-in-the-Middle (détournement de trafic Internet). En l’état actuel, on reste au stade de menace plausible, faute de disposer de PoC (« proof of concept’) établi.

Présente dans la version 3.6 du noyau Linux (sortie en 2012), cette faille accompagne également un grand nombre de moutures d’Android depuis la version KitKat (4.4). De facto, 80% des terminaux fonctionnant sous cet OS mobile sont potentiellement exposés à cette menace.

« Un patch Linux a été rédigé le 11 juillet 2016 », relate Lookout. « Cependant, après vérification, il apparaît que la dernière version développeur d’Android Nougat ne dispose pas de Kernel patché contre cette faille. »

Des drivers vulnérables de puces Qualcomm

Sous un autre angle, Check Point a pointé du doigt les risques associés à QuadRooter du nom d’un bouquet de quatre vulnérabilités associées à des drivers pré-installés de puces Qualcomm embarquées dans des terminaux mobiles 4G sous Android.

Une équipe de chercheurs de l’éditeur de solutions de sécurité (appliance, firewalls, suites endpoint…) a dévoilé sa découverte lors de la session DEF CON organisée début août à Las Vegas. En cas d’exploitation, un pirate peut élever ses droits d’accès à distance sur un terminal Android.

Une large série de smartphones Android ayant intégré des puces Qualcomm est concernée. Check Point en recense 900 millions dans le monde avec des marques connues de téléphones comme Samsung (avec sa gamme Galaxy S7) mais aussi Sony, LG, HTC, OnePlus ou Motorola.

L’éditeur propose un outil de scan à télécharger sur son téléphone pour repérer si le terminal est concerné par QuadRooter. Mais, selon Silicon.fr, Si Check Point a profité de la DEF CON de début août pour exposer les méfaits de QuadRooter, Qualcomm avait déjà révélée les failles issues des pilotes des puces concernées. Elles sont référencées sous les bulletins CVE-2016-2059, CVE-2016-2503, CVE-2016-2504 et CVE-2016-5340.

Le fabricant a fourni les correctifs progressivement (ainsi, CVE-2016-5340 a été diffusé à partir du 28 juillet). Trop tard ? Google n’a pas pu l’intégrer à son bulletin de sécurité du 1er août à l’attention des constructeurs partenaires de terminaux Android.

Liste des terminaux Android concernés par QuadRooter selon Check Point : BlackBerry Priv, Blackphone 1 et Blackphone 2,  Google Nexus 5X, Nexus 6 et Nexus 6P, HTC One, HTC M9 et HTC 10, LG G4, LG G5, et LG V10,  New Moto X by Motorola, OnePlus One, OnePlus 2 et OnePlus 3, Samsung Galaxy S7 et Samsung S7 Edge et Sony Xperia Z Ultra

(Crédit photo : Check Point)


Lire la biographie de l´auteur  Masquer la biographie de l´auteur