Cette faiblesse système a été découverte par une équipe de l'Université de l'Indiana et les labos de recherche de Microsoft [PDF]. L'objet de leur curiosité s'est porté sur le mécanisme de mise à jour système d'Android.
Six failles ont été découvertes dans le package management service. Elles peuvent faciliter la vie d'une app désireuse de collecter des données personnelles de l'utilisateur, de modifier les logiciels installés, voire de prendre leur place. Ces failles sont surnommées « Pileup Flaws/privilege escalation through updating ». Le principe consiste à distribuer une application de prime abord inoffensive mais capable de mettre en route ses propriétés infectieuses à la suite d'une mise à jour d'Android. Cela peut aller de la récupération d'informations, à l'injection de code malveillant jusqu'au remplacement pur et simple d'une app système par son clone dans lequel vous entrerez vos données en toute confiance.
Une application dispose à la base d'une série de droits d'accès qui encadre son activité et ce qu'elle est en droit de faire avec les fonctions offertes par le système. L'auteur du malware peut toutefois inclure des privilèges qui ne lui serviront que plus tard. La version installée d'Android, lorsqu'elle vérifiera l'application, glissera sans sourciller sur ces droits d'accès dormants qui lui sont, à ce stade, complètement inconnus. Mais lors d'une mise à jour système apportant les nouvelles fonctions attendues, l'application pourra enfin les mettre à profit sans se faire remarquer. Android ne trouvera rien à redire puisqu'il avait déjà validé cette app précédemment.
Sur les six failles révélées à Google en octobre dernier, une a été corrigée en janvier, les autres sont toujours à l'étude. Les chercheurs font remarquer que selon les constructeurs, le nombre de petites mises à jour système incrémentales proposées aux utilisateurs multiplie les opportunités pour les auteurs de tels malwares. À ce jeu, Samsung créée plus de déclinaisons système que Google lui-même, font-ils remarquer. Mais il leur est impossible de savoir si cette faille était connue et exploitée.
L'équipe s'inquiète toutefois de la vitesse à laquelle ces correctifs vont pouvoir être distribués par Google et les fabricants, cet écosystème n'étant pas connu pour se tenir à jour à marche forcée. Dans l'attente, un outil a été mis en ligne pour détecter la présence de tels malwares et des vidéos de démonstration de ces failles sont visibles.
[via Futura Sciences]
