Vulnerabilite permettant de contourner le VPN dans KitKat et Jelly Bean

Les chercheurs israéliens qui ont découvert la semaine dernière un bogue dans la version Jelly Bean 4.3 d'Android qui permet de contourner le VPN ont réalisé des tests complémentaires et affirment que la vulnérabilité touche également KitKat 4.4, la version la plus récente d'Android.

A l'instar du bogue de contournement dans Jelly Bean, cette vulnérabilité permet à une application malveillante de contourner la configuration VPN afin de rediriger le trafic vers une autre adresse réseau.

Vu que KitKat possède une mise en œuvre différente de la sécurité, les chercheurs n'ont pas été en mesure d'utiliser le même code que pour Jelly Bean, mais ils ont toutefois trouvé un code qui fonctionnait. La vulnérabilité permet à une application malveillante de contourner la configuration VPN sans privilèges root afin de "rediriger les communications sécurisées vers une autre adresse réseau."

Dudu Mimran, Directeur de la technologie du Cyber Security Labs, une division de l'université Ben Gurion à Be-er Sheva, Israël, a évoqué le bogue Jelly Bean  la semaine dernière dans un rapport de divulgation.

Comme pour cette vulnérabilité, Dudu Mimran signale que les communications qui passent entre la configuration VPN sur KitKat sont en clair et sans chiffrement et l'utilisateur ne se doute de rien.

Les chercheurs ont présenté le code d'exploitation dans une vidéo en indiquant tout d'abord la version du système d'exploitation (4.4.2 dans ce cas) avant de déclencher le code d'exploitation, de se connecter au VPN et de démonter comment obtenir des informations SMTP sensibles via un outil de capture de paquet.

http://www.youtube.com/watch?v=Cv-d73Jh0ac

D'après les chercheurs, le fonctionnement de la vulnérabilité KitKat évoque un peu celui d'une autre vulnérabilité qu'ils avaient découverte l'année dernière dans le coffre-fort électronique Knox de Samsung. Cette vulnérabilité permettait à un attaquant d'intercepter les communications entre Knox et les fichiers extérieurs sur un périphérique Samsung S4 et puis, de contourner Knox.

Samsung et Google ont rejeté les conclusions de Ben Gurion et de Cyber Security Labs sur Knox au début du mois. Pour eux, le code d'exploitation "utilise les fonctions de réseau d'Android d'une manière non prévue" et la recherche présentée ne porte pas sur un bogue ou une faille, mais bien sur une attaque classique de type homme au milieu. Dans un communiqué publique conjoint, les deux sociétés rappellent que "Android propose un VPN intégré et la prise en charge de solutions VPN tierces afin de protéger les données" et que l'utilisation d'une de ces deux options aurait "déjoué une attaque basée sur une application locale installée par l'utilisateur." Cyber Security Labs a réagi aux déclarations de Google et Samsung et a fourni sa propre réponse la semaine dernière.

Pour l'instant, le groupe a signalé les deux problèmes VPN à Google via ses outils de signalement de vulnérabilités mais jusqu'à présent, il sait uniquement que Google enquête. Vu la réaction de Google et de Samsung suite à la découverte de Knox, il sera intéressant de voir ce quelle sera leur attitude une fois que le calme sera revenu.

Cyber Security Labs a déjà précisé par le passé qu'elle suivait ce qu'elle appelle une “politique responsable de divulgation complète.” Dans ce genre de situation, elle signale chaque problème détecté aux membres du public sans toutefois dévoiler les détails critiques qui pourraient permettre à une personne de reproduire l'attaque, et elle actualise le blog au fur et à mesure qu'elle reçoit des informations.

http://threatpost.com/android-vpn-bypass-vulnerability-affects-kitkat-as-well-as-jelly-bean/103918

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *