Certifi-gate : Android sous le coup de multiples vulnérabilités

1
88

La conférence Black Hat de Las Vegas du 1er au 6 août a été largement bénéfique à la sécurité du système Android. En effet, les vulnérabilités pleuvent, y compris la faille « Certifi-gate », qui exploite les autorisations attribuées par le système d’exploitation.

En plus de Certifi-gate, une autre faille a été dévoilée dans la foulée, permettant quant à elle d’avoir accès aux empreintes de certains terminaux.

Le cas de Certifi-gate

 « Certifi-gate » repose sur les accès donnés à des applications de types mRST (Mobile Remote Support Tools), qui permettent de se connecter à distance à son smartphone ou à sa tablette via un ordinateur. Pour pouvoir accéder à son terminal, il faut évidemment donner un maximum d’accès (« certifications » en anglais) à ces applications et c’est justement ce qu’exploitent des applications développées par des hackers.

Les conséquences sont critiques : accès total au système à distance. Le hacker à alors plein pouvoir sur le terminal, y compris la manipulation de la caméra et du microphone pour procéder à des enregistrements furtifs.

Selon CheckPoint, les mRSTs déjà qualifiées de vulnérables incluent Team Viewer, Rsupport et CommuniTake Remote Care. D’autres, peut-être moins connues sont probablement à ajouter à la liste. Certaines applications vulnérables à Certifi-gate sont aussi des services mis en place par les constructeurs eux-mêmes donc les utilisateurs ne peuvent malheureusement pas désinstaller ou enlever ces fonctionnalités. Un rapport complet (PDF) sur la vulnérabilité est disponible.

Un patch global en prévision

Samsung et Google ont remercié CheckPoint d’avoir sonné l’alarme sur cette faille et ont annoncés qu’un correctif devrait bientôt être proposé par les principaux constructeurs de terminaux sous Android. En ce qui concerne Google et ses terminaux Nexus, il semblerait que la faille n’y soit pas présente et qu’elle n’a jamais été exploitée. Un scanner de faille a été spécifiquement mis en ligne sur le Play Store.

certifi-gate-android_play-store

Le cas des empreintes

Les problèmes de sécurités avec Android ne semblent pas s’arrêter là. Une autre firme de sécurité, FireEye, a découvert une énième faille concernant le système d’exploitation de Google, s’agissant cette fois de faiblesses visant des lecteurs d’empreintes. Selon la firme, des hackers peuvent avoir accès aux empreintes de terminaux produits par Samsung, HTC ou encore Huawei.

Bien entendu, qui dit accès, dit copie des empreintes. L’usurpation d’identité des utilisateurs est alors possible et les possibilités sont nombreuses : effecteur des achats non autorisés ou encore accéder à des données privées. Les chercheurs de FireEye ont déjà contacté les constructeurs et heureusement, des patchs ont été mises en place depuis.

Les commentaires sont fermés.