Une vulnérabilité Android nommée Strandhogg utilisée pour tromper les utilisateurs

Une vulnérabilité Android nommée Strandhogg utilisée pour tromper les utilisateurs

Des chercheurs de Promon ont identifié une vulnérabilité importante affectant toutes les versions d’Android et actuellement exploitée sur Internet. Ils l’ont nommé StrandHogg.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Détails de la vulnérabilité

La vulnérabilité provient de l’attribut taskAffinity permettant à n’importe quelle application de se faire passer pour une autre application dans le système multitâche d’Android. Un malware installé sur un téléphone peut ainsi se faire passer pour une application légitime lors de la définition des permissions de l’application (accès au microphone, accès aux dossiers/fichiers, etc.).

Le scénario d’une attaque de ce type est le suivant :

  1. Un utilisateur télécharge une application sur le Google Play Store ;
  2. Cette application est un dropper et va télécharger le malware sur le système ;
  3. Lors de l’ouverture d’une application légitime, le malware sera en capacité d’afficher du contenu en faisant croire qu’il s’agit de l’application légitime ;
  4. Il demandera alors des permissions à l’utilisateur avant d’afficher l’application légitime une fois l’action réalisée.

De cette manière-là, le malware peut :

  • écouter le micro,
  • prendre des photos avec la caméra,
  • lire et écrire des SMS,
  • dérober les identifiants de l’utilisateur via un faux formulaire,
  • accéder à l’ensemble des fichiers sur le téléphone,
  • accéder aux informations de géolocalisation et même accéder aux contacts.

Cette vulnérabilité suscite l’attention, car elle permet de mener des attaques sophistiquées sans nécessiter de rooter le téléphone (offrant un accès super utilisateur sur le système d’exploitation d’Android).

Cette vulnérabilité avait été d’abord théorisée par des chercheurs de Penn State University en 2015. À l’époque Google avait désapprouvé la criticité de la vulnérabilité. Les chercheurs de Promon ont ici pu démontrer son exploitation sur Internet.

Versions affectées

Toutes les versions d’Android sont affectées par cette vulnérabilité et les 500 applications les plus téléchargées sont des cibles potentielles.

Plus de 36 applications étaient présentes sur Google Play et permettaient de télécharger un malware exploitant cette faille. Elles ont depuis été supprimées par les équipes de Google.

Recommandations

Aucun correctif de sécurité n’est pour l’heure disponible. Il est donc vivement recommandé la plus grande vigilance lors de l’attribution de permissions aux applications mobiles.


Références

The StrandHogg vulnerability

Référence XMCO

CXN-2019-5506


Etienne Baudin

Consultant Cert-XMCO