POC et correctif pour la vulnérabilité affectant la signature des APK Android

Par Rédaction, secuobs.com
Le 10/07/2013

---

Résumé : Suite à la publication d’une preuve de concept démontrant la faisabilité d’exploitation d’une vulnérabilité impliquant la signature des applications APK sur les systèmes Android, Google vient de déployer un correctif pour ces systèmes, tout en améliorant la sécurité de son Marketplace. - Lire l'article



Un chercheur publiait récemment un exploit fonctionnel permettant à un attaquant de transformer une application Android légitime en un cheval de Troie pour le système d’exploitation de Google. Cette vulnérabilité impliquant plus spécifiquement la manière dont les fichiers APK légitimes sont habituellement signées afin d’assurer qu’elles n’ont pas été modifiées par des tiers autres que le développeur d’origine.

Bien que les chercheurs, à l’origine de cette découverte, aient fourni dès la semaine dernière une multitude de détails sur cette vulnérabilité, ils avaient cependant omis certains détails techniques qui auraient permis à tout un chacun de reproduire cette attaque. Néanmoins, les développeurs de CyanogenMod avaient alors choisi de mener leur propre investigation, cette dernière leur permettant de discerner les conditions nécessaires à une exploitation réussie.

Suite à ces investigations menées par CyanogenMod, Pau Oliva Fora, un ingénieur sécurité travaillant pour le compte de la société viaForensics, avait publié une preuve de concept autorisant n’importe qui, présentant tout de même un minimum de connaissances, à modifier une application Android légitime sans pour autant que ces modifications impactent la signature d’origine qui assure l’authenticité du code de l’application APK.

En plus de démontrer la faisabilité de son exploitation, cette preuve de concept en démontrait également la relative simplicité d’exploitation. L’exploit « se limitant » ici à ajouter de nouvelles lignes de code au sein d’une application Android légitime, sans donc en supprimer aucune des entrées d’origine. Les entrées injectées contenant des paramètres similaires à celles d’origine, mais se différencant de ces dernières par l’utilisation de contextes différents.

Dans pareil cas, Android échoue alors à vérifier proprement la signature des applications APK qui ont des noms de fichiers dupliqués au sein des entrées. L’entrée vérifiée pour la signature étant la seconde occurrence qui intervient au niveau de l’application Android, alors que celle qui sera finalement installée sera elle la première rencontrée, donc ici celle qui aura été injectée et qui contiendra la charge utile, une entrée qui ne sera donc en aucun cas vérifiée.

Google a pour sa part déjà réagi en expliquant que les solutions de mitigation avaient déjà été mises à disposition à l’heure actuelle afin de protéger les utilisateurs des systèmes Android contre les abus consécutifs à ce type d’attaques. Des mitigations qui ont été amenées à la fois par un correctif déjà déployé, mais également par un contrôle plus stricte des applications APK qui sont disponibles au niveau de Google Play, le Marketplace officiel de Google.

Source :

« Google patches critical Android threat as working exploit is unleashed » sur « Ars Technica Risk Assessment » ( lien )