Plusieurs certificats de plate-forme Android ont fuité et peuvent désormais être utilisés par des pirates et des hackers. Ces certificats sont très importants, car ils sont employés par les fournisseurs d’appareils OEM Android pour signer numériquement les applications de base du système. Si un hacker dispose du certificat, il peut l’utiliser pour signer une application malveillante. Celle-ci sera alors acceptée par le système avec l’identifiant android.uid.system et pourra disposer de privilèges systèmes très élevés. Elle sera ainsi capable d’accéder à toutes les données de l’utilisateur. Cette fuite a été rendue officielle par Google, puis relayée par Łukasz Siewierski et le journaliste Mishaal Rahman sur Tweeter.
https://twitter.com/MishaalRahman/status/1598426974594433025
Un pirate pourrait aussi faire passer une application malveillante pour une mise à jour d’une application officielle, par exemple l’assistant Bixby de Samsung, en utilisant ces certificats.
Google a donné quelques exemples de certificats compromis et de malwares qui les utilisent, mais uniquement sous la forme de données de hachage SHA256. En effectuant une recherche sur le site VirusTotal à partir de ces données, nos confrères de Bleeping Computer ont découvert que certains certificats de plate-forme correspondent aux constructeurs Samsung Electronics, LG Electronics, Revoview et MediaTek.
Google a déjà prévenu les fournisseurs OEM concernés et leur a demandé de changer les certificats de leurs plates-formes Android (rotation des clés publiques et privées), de faire une enquête pour comprendre comment la fuite s’est produite et de minimiser le nombre d’applications signées avec leurs certificats pour éviter de futurs incidents.
Interrogé par nos confrères de Bleeping Computer, Google s’est voulu rassurant et a précisé que toutes les parties concernées ont été informées des résultats et ont réagi en conséquence. Selon un porte-parole de l’entreprise :
« Les partenaires OEM ont rapidement mis en œuvre des mesures d’atténuation dès que nous avons signalé le compromis clé. Les utilisateurs finaux seront protégés par les mesures d’atténuation des utilisateurs mises en œuvre par les partenaires OEM »
Mais selon nos confrères de Bleeping Computer, Samsung n’aurait pas encore procédé au changement et utiliserait encore les certificats de plate-forme divulgués pour signer numériquement des applications.
Enfin, Google a précisé que des détections pour les clés compromises ont été ajoutées à Android Build Test Suite (BTS), qui permet de créer et d’analyser une image du système. De plus, des détections de logiciels malveillants sont présentes dans l’antivirus intégré Google Play Protect. Selon Google, il n’y a aucune indication que les malwares qui utilisent les certificats sont présents ou ont été présents dans le magasin d’application Play Store. Toutefois, l’éditeur recommande aux utilisateurs de passer à la dernière version d’Android pour bénéficier du meilleur niveau de sécurité.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bleeping Computer
Sympa comment on force sont tel à passer à la dernière version d’Android ?