Malware

Janus permet la modification du code d’une application sans affecter sa signature

Le bulletin de sécurité Android du mois de décembre, publié il y a bientôt une semaine, précise qu’un correctif à la vulnérabilité référencée CVE-2017-13156 est disponible. Baptisée Janus par les chercheurs de la firme de sécurité GuardSquare, elle permet la modification du code d’une application sans que la signature de cette dernière ne soit affectée.

Le problème, d’après ce que rapportent les chercheurs, réside dans la façon dont les versions d’Android de Lollipop à Oreo gèrent les fichiers Android package (APK) et Dalvik EXEcutable (DEX). « Le mécanisme de signature JAR prend uniquement les entrées zip [au sein du fichier APK] en compte. Les octets additionnels sont ignorés au moment du calcul ou de la vérification de la signature d’application », expliquent les chercheurs. Cette disposition crée un danger permanent dans le processus de vérification de l’intégrité. Une fonctionnalité de la machine virtuelle Dalvik prévoit en effet qu’un fichier revête une nature duale APK/DEX. La modification de la section DEX en son sein passera inaperçue puisque n’étant en rien liée aux sections concernées.

« Un cybercriminel peut remplacer une application système par une version modifiée pour abuser de ses permissions. En fonction de l’application cible, l’attaquant peut avoir accès à des informations sensibles stockées sur le dispositif ou pourquoi pas effectuer une prise en otage de ce dernier », écrivent les chercheurs à propos des éventuelles conséquences.

 

 

Inutile de rappeler que les correctifs dont il est fait mention au sein du bulletin de sécurité Android concernent les possesseurs de smartphones Nexus et Pixel uniquement. Les appareils mobiles Android d’autres marques sont laissés à la merci des lenteurs orchestrées par les nombreux intervenants de la chaîne de mise à jour. Pour rappel, Google a annoncé un changement de l’architecture de son système d’exploitation pour appareils mobiles au mois de mai. Android Oreo intègre cette nouveauté et, en principe, le processus de mise à jour de cette mouture s’affranchit de l’intervention absolue des fabricants de puces avant les autres maillons de la chaîne. L’initiative est louable, mais ses retombées sont semble-t-il insuffisantes à date.

Les développeurs désireux d’éviter que leurs applications ne fassent mauvaise presse devront signer leurs applications avec la deuxième version du mécanisme mis à leur disposition. Enfin, les utilisateurs finals devront s’assurer que les applications installées sur leurs dispositifs proviennent du Play Store. D’après les recommandations de la firme de sécurité, ces dernières devraient être « saines ».

Comment here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

fr_FRFrench
en_USEnglish fr_FRFrench