Risque élevé posé par une bibliothèque de publicités mobile pour Android non nommées

Michael Mimoso

Des experts en sécurité ont découvert une bibliothèque de publicités mobile sous Android diffusée via Google Play capable de récolter des données sur l’appareil ou d’exécuter un code malveillant.

Le plus inquiétant est que cette bibliothèque en particulier se trouve dans près de 2 % d’applications Android comptant plus d’un million de téléchargements sur Google Play et d’après les déclarations d’hier des chercheurs de FireEye, ces applications ont été téléchargées plus de 200 millions de fois.

Les experts refusent de nommer la bibliothèque mais ils affirment qu’ils ont averti Google et l’éditeur de la bibliothèque et que ces derniers cherchent une solution au problème.

Les bibliothèques de publicité mobiles permettent aux applications d’afficher des publicités ; en général, elles récoltent les identificateurs IMEI et IMSI des appareils. Mais cette bibliothèque en particulier, baptisée Vulna par FireEye va bien plus loin. Elle est capable de récolter les SMS, les contacts et les détails des appels et elle est en mesure d’exécuter du code.

Les experts de FireEye expliquent que "Vulna contient également plusieurs vulnérabilités. Un individu malintentionné qui exploiterait celles-ci pourrait utiliser les fonctionnalités risquées et agressives de Vulna à des fins malveillantes comme l’activation de la caméra et la prise de photo à l’insu de l’utilisateur, le vol des messages d’authentification à deux facteurs envoyés par SMS ou intégrer l’appareil à un réseau de zombies".

Une des vulnérabilités découvertes par FireEye est le transfert des informations privées de l’utilisateur en clair via HTTP, ce qui permet à l’auteur de l’attaque de les consulter. Le protocole HTTP est également utilisé pour la transmission des commandes depuis le serveur de commande. "Un individu malintentionné peut transformer Vulna en un réseau de zombies en détournant son trafic HTTP et en envoyant des commandes et des codes malveillants" affirment les chercheurs.

Il existe également une faiblesse au niveau de Java et de la manière dont il peut utiliser la fonction Web View d’Android qui pourrait permettre à un individu malintentionné d’envoyer un javascript malveillant. Toutes ces conditions, associées aux autorisations octroyées à cette bibliothèque de publicité, comme le contrôle de la caméra ou l’accès aux SMS, pourraient offrir à un individu malintentionné diverses options pour organiser des attaques de phishing, envoyer des SMS à des numéros surtaxés ou violer la vie privée de l’utilisateur en prenant des photos à son insu, en volant des mots de passe ou en consultant l’historique de la navigation sur Internet.

Les experts affirment que la bibliothèque expose l’appareil de l’utilisateur à différents codes d’exploitation comme des attaques de type homme du milieu sur des points d’accès Wi-Fi publics ou même des attaques de détournement de DNS qui renvoient le navigateur de l’appareil vers un site contrôlé par l’auteur de l’attaque.

Comme si cela ne suffisait pas, les activités de la bibliothèque sont difficiles à détecter car les commandes qu’elle reçoit depuis son serveur de commande prennent la forme de données codées dans les champs d’en-tête HTTP et non pas dans le corps de la réponse. Selon les experts, le code source est également obfusqué, ce qui signifie que son comportement est difficile à analyser.

"Dans un jeu très populaire, Vulna est exécuté uniquement à certaines étapes, par exemple quand un niveau en particulier est atteint. Le code malveillant se déroule en arrière-plan, loin du regard du joueur" expliquent les chercheurs.

FireEye met en garde contre la menace croissante que représente les bibliothèques de publicité malveillantes, surtout pour les entreprises qui autorisent leurs employés à accéder aux ressources réseaux depuis les appareils mobiles personnels.

FireEy affirme "Que l’agressivité manifestée par ces bibliothèques de publicité dans la collecte des données sensibles des utilisateurs et l’intégration de capacités d’exécution d’opérations dangereuses à la demande est troublante. Ces bibliothèques contiennent également différentes catégories de vulnérabilités qui permettent aux individus malintentionnés de nuire aux utilisateurs à l’aide de ces comportements agressifs. Les développeurs d’applications qui utilisent ces bibliothèques tierces ignorent souvent les problèmes de sécurités qu’elles renferment."

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *