LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les certificats des constructeurs de smartphones Android tels que Samsung et LG ont été détournés par les hackers ! Ces clés sont utilisées pour signer numériquement des malwares, et leur donner l'accès à l'OS de l'appareil. Découvrez comment vous protéger de cette menace…
Afin de signer les images ROM contenant l'OS Android, les constructeurs de smartphones utilisent des certificats de plateformes. C'est ce qui permet à l'application « android » de se voir assigner l'identifiant « android.uid.system » et d'obtenir l'accès au système de l'appareil.
Ce privilège ouvre l'accès à des autorisations inaccessibles aux autres applications. Il permet notamment de gérer les appels entrants, de collecter des données sur l'appareil, d'installer ou de supprimer des packages et bien d'autres actions hautement sensibles.
Toutefois, n'importe quelle application signée avec ce certificat et se voyant assigner l'identifiant « android.uid.system » obtient l'accès au système et les autorisations censées être réservées à l'OS.
Or, de multiples certificats de plateformes ont été détournés et utilisés pour signer des applications Android contenant des malwares. C'est ce que révèle un rapport publié sur Android Partner Vulnerability Issue par Lukasz Siewierski de l'équipe Android Security de Google.
New APVI entry: platform certificates used to sign malware
Found by yours truly 🙂https://t.co/qiFMJW111A
— Łukasz (@maldr0id) November 30, 2022
Le chercheur a détecté de multiples échantillons de malwares signés à l'aide de dix certificats de plateformes Android différents. Pour l'heure, on ignore comment ces certificats ont pu être détournés.
Il est possible qu'un ou plusieurs cybercriminels soient parvenus à les voler, ou qu'un employé ayant accès aux clés de constructeurs ait signé les APK. Par ailleurs, le rapport ne révèle pas non plus si les échantillons de malwares ont été trouvés sur le Google Play Store ou distribués sur des plateformes tierces non officielles.
Les noms des packages des dix échantillons de malwares signés avec les clés de plateformes ont été fournis par Siewierski et sont listés ci-dessous :
- com.russian.signato.renewis
- com.sledsdffsjkh.Search
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
- com.vantage.ectronic.cornmuni
Fuite des certificats de Samsung, LG, Revoview et MediaTek
En menant une recherche sur VirusTotal, on s'aperçoit que certains des certificats détournés appartiennent à Samsung Electronics, LG Electronics, Revoview et Mediatek.
Parmi les malwares signés avec ces certificats, on compte des Chevaux de Troie, des logiciels de vol d'information, ou encore des droppers pouvant être utilisés par les hackers pour déployer davantage de malwares sur les appareils compromis.
Tous les vendeurs affectés ont été avertis par Google, et invités à changer de certificats de plateformes. Il leur est aussi demandé de mener l'enquête pour comprendre comment cet incident s'est produit, et de minimiser le nombre d'applications signées avec leurs clés pour éviter qu'il se reproduise.
Comment protéger son smartphone contre les malwares signés ?
Pour une vue d'ensemble de toutes les applications Android signées avec ces certificats compromis, vous pouvez utiliser APKMirror. Vous y trouverez facilement une liste d'applications signées avec le certificat Samsung, et une autre avec les applications signées LG.
On constate que certains constructeurs de smartphones Android n'ont malheureusement pas suivi les recommandations de Google suite à ce détournement de certificats. Ainsi, la clé de Samsung est encore utilisée pour signer des applications numériquement.
De son côté, Google déclare avoir ajouté un système de détection de certificats compromis sur la suite Android Build Test servant à scanner les images système. Une fonctionnalité de détection de malware a aussi été ajoutée à Google Play Protect.
Par ailleurs, la firme assure que les utilisateurs finaux seront protégés par les mesures de mitigation implémentées rapidement par les constructeurs de smartphones suite au signalement de cette faille.
Pour l'heure, rien n'indique que le malware ait été ou soit sur le Google Play Store. Dans tous les cas, les utilisateurs de smartphones Android sont invités à s'assurer d'avoir installé la version la plus récente de l'OS.
- Partager l'article :
