Une faille dans une interface de programmation de Qualcomm permet de lire et consulter l’historique des appels en toute discrétion. Un patch est disponible, mais peu diffusé.
Début mai, Google a publié une mise à jour d’Androidqui colmatait une série de failles critiques, dont l’une – baptisée CVE-2016-2060 – permet de siphonner des informations sur le téléphone (« Information disclosure »). Les chercheurs de de FireEye, qui ont découvert cette vulnérabilité, viennent maintenant de donner des précisions techniques, et elles sont loin d’être réjouissantes.
Cette faille est liée à une interface de programmation de Qualcomm pour la gestion des connexions réseau (« netd daemon »), où elle a été introduite en 2011. Elle impacte principalement les terminaux avec une version d’Android inférieure ou égale à 4.3 (« Jellybean MR2 »). Elle permet à un attaquant de lire les messages texte, de consulter l’historique des appels et de se connecter à Internet.
Selon FireEye, des « centaines de modèles » seraient affectés. Il n’est pas simple d’en déduire à un chiffre précis, mais il s’agit certainement de millions de terminaux. Et selon les chercheurs, il est probable que ces terminaux vulnérables ne seront jamais patchés. En effet, dans l’univers Android, les mises à jour sont diffusées par les opérateurs ou les constructeurs, dont la réactivité laisse souvent à désirer.
Enfin, pour parfaire ce sombre tableau, l’exploitation de cette faille est difficile à déceler. Il suffit, en effet, de diffuser une application malveillante qui fait appel à l’interface de programmation vulnérable. « N’importe quelle application peut interagir avec cette API sans provoquer d’alertes. Il est peu probable que Google Play la considérerait comme malveillante. Il est difficile à croire qu’un antivirus serait capable de détecter cette menace. De plus, l’autorisation pour effectuer ces requêtes est demandée par des millions d’applications, ce qui ne permettrait donc pas de détecter quelque chose », écrivent les chercheurs dans une note de blog.
Les terminaux récents sont moins vulnérables
L’exploitation n’entrainerait pas non plus de baisse de performance ou d’erreur de fonctionnement. Bref, une telle attaque passerait quasiment inaperçue. Toutefois, il n’est pas totalement impossible de la détecter : FireEye réussi à le faire au travers de sa solution professionnelle Mobile Threat Prevention. Mais cela suppose des ressources d’analyse inaccessible au grand public.
Enfin, signalons que les terminaux plus récents (Android 4.4 et supérieur) sont également impactés, mais à moindre échelle. L’attaquant ne pourra pas siphonner des données du téléphone, mais il pourra, en fonction du modèle ciblé, modifier certains paramètres de réglages. Ce n’est pas dramatique en soi, mais pourrait être utile dans le cadre d’un processus d’attaque plus large.
Sources :