Support technique
Documentation
Connexion
Nous contacter
Les utilisateurs d'Android sont menacés par la compromission des certificats numériques des fournisseurs.
Obanla Opeyemi
15 décembre 2022 - L'équipe d'experts de TuxCare
Un certain nombre de certificats numériques utilisés par des fournisseurs tels que Samsung, LG et MediaTek ont été découverts comme étant compromis afin d'approuver des applications Android malveillantes, ce qui les rend vulnérables après qu'une importante fuite de sécurité ait permis à un programme malveillant de confiance de se déchaîner et d'affecter les appareils.
La nouvelle vulnérabilité, qui permet à un attaquant malveillant d'obtenir des autorisations au niveau du système sur un appareil affecté, a été découverte et signalée jeudi par Łukasz Siewierski, un ingénieur inverse de logiciels malveillants chez Google, citant un rapport de Google Android Partner Vulnerability Initiative (APVI).
Selon le rapport, ces certificats sont utilisés pour valider les applications. Toute autre application signée avec le même certificat peut déclarer qu'elle souhaite s'exécuter avec le même identifiant, ce qui lui donne accès au système d'exploitation Android. En d'autres termes, si les pirates exploitent ces certificats, ils peuvent les utiliser pour créer des applications qui semblent authentiques.
Les logiciels malveillants peuvent obtenir un accès élevé au système en utilisant ces certificats sans aucune interaction avec l'utilisateur. En général, les logiciels malveillants Android doivent faire des pieds et des mains pour demander des autorisations supplémentaires aux utilisateurs, comme l'accès aux services d'accessibilité, qu'ils utilisent ensuite pour extraire des données et des informations d'autres applications. Les logiciels malveillants n'ont pas besoin de passer par ces étapes s'ils utilisent le même certificat que l'application Android racine. Les logiciels malveillants peuvent également se faire passer pour une application préinstallée de confiance et apparaître comme une mise à jour pour les utilisateurs, ce qui rend encore plus difficile la détection d'un problème.
Parmi les paquets d'applications Android malveillantes dont les codes sont exploitables figurent : com.russian.signato.renewis, com.sledsdffsjkh.Search, com.android.power, com.management.propaganda, et com.android.power. com.sec.android.musicplayer, com.houla.quicken, com.attd.da, com.arlo.fappx, com.metasploit.stage, et com.vantage.ectronic.cornmuni.
L'exploitation des certificats de plate-forme compromis des paquets d'applications Android susmentionnés permettrait à un attaquant de créer un malware avec des autorisations étendues sans avoir à inciter les utilisateurs à les accorder, puis d'obtenir le plus haut niveau de privilèges du système d'exploitation Android, ce qui lui permettrait de récolter tous les types d'informations sensibles d'un appareil compromis.
Les sources de cet article comprennent un article de TheHackerNews.
