Google a révélé un problème grave affectant principalement Téléphones Samsung vers la fin de 2022. Certains les certificats de plate-forme de Samsung sont tombés entre les mains de mauvais acteurs, ce qui leur a permis de créer des logiciels malveillants avec des autorisations élevées, permettant potentiellement aux pirates de détourner des téléphones en y chargeant des logiciels falsifiés. Cela semble affecter tous les téléphones d’un fabricant donné, que vous ayez ou non Android 13. Voici tout ce que nous savons sur la vulnérabilité et ce que vous pouvez faire pour vous protéger et protéger votre téléphone.
Comment ces certificats de plate-forme Android ont-ils fui et comment ont-ils été repérés ?
On ne sait pas actuellement comment les certificats ont fui. Nous savons seulement que ils ont fui. Fait intéressant, il semble que l’un des certificats ait été utilisé par des logiciels malveillants en 2016. À l’époque, une application malveillante signée avec ce que l’on sait maintenant être un certificat compromis était enregistrée par VirusTotal. Soit certaines de ces données sont erronées, soit la vulnérabilité n’a pas été repérée depuis tout ce temps.
Il y a des leçons positives à tirer de cette découverte. Même si 10 certificats ont été affectés, il est probable qu’ils n’ont pas été extraits lors d’une seule attaque coordonnée, mais qu’ils se sont plutôt répandus au fil du temps. Sinon, les preuves que nous voyons ne seraient pas aussi dispersées, et il n’y aurait pas cette valeur aberrante de 2016.
Pourquoi une fuite de certificat de plate-forme Android est-elle si dangereuse ?
Les fabricants utilisent des certificats de plate-forme ou de fournisseur pour signer les versions logicielles et Android et vérifier qu’elles sont légitimes. Les applications avec ces signatures peuvent être approuvées avec des autorisations élevées pour interagir avec le système Android sous-jacent et les données utilisateur. Normalement, cela ne devrait permettre qu’à une poignée d’applications système vitales d’accéder à ces parties de votre téléphone. Pourtant, lorsqu’un mauvais acteur met la main sur ces certificats, il peut signer des logiciels malveillants avec et lui donner le même accès élevé qu’une application légitime.
Ce logiciel malveillant peut ensuite être distribué aux téléphones Android qui l’installeront et attribueront toutes les autorisations demandées sans autres questions ni interaction de l’utilisateur. Cela rend ce vecteur d’attaque très dangereux. Les logiciels malveillants Android doivent généralement convaincre les utilisateurs de lui accorder des autorisations élevées avant de pouvoir faire des ravages sur les appareils.
Quels téléphones sont concernés par la fuite du certificat de la plate-forme ?
Alors que Google a révélé que 10 certificats individuels avaient fui, les seuls qui ont été exploités étaient deux certificats de Samsung et LG. Alors que LG n’a pas utilisé le certificat pour bon nombre de ses applications, Samsung utilise largement le certificat en question pour des centaines de ses applications. Si vous avez un téléphone Samsung Galaxy, il était probablement vulnérable à l’attaque à un moment donné. Cela dit, Google a travaillé avec Samsung et les autres fournisseurs pour résoudre la vulnérabilité et pense qu’elle est résolue. À ce stade, il est très peu probable qu’il existe encore des logiciels malveillants capables d’utiliser ces certificats pour attaquer votre appareil.
Un autre fournisseur touché est le fabricant des tablettes Onn de Walmart, szroco. Il y a aussi le fabricant de puces MediaTek et le chinois ODM Revoview. Il est conseillé d’être prudent si vous possédez un appareil de l’un de ces fabricants ou avec une puce MediaTek, car le rapport de sécurité indique que des logiciels malveillants ont été repérés à l’aide de tous ces certificats.
Comment puis-je me protéger des logiciels malveillants à l’aide d’un certificat de plate-forme ?
Google a déjà mis à jour son scanner de logiciels malveillants intégré qui est préinstallé sur tous les téléphones Android, Google Play Protect. Avec cela en place, il devrait être presque impossible que des logiciels malveillants utilisant les certificats de plate-forme acquis illégitimement soient installés sur votre téléphone. C’est toujours une bonne idée de s’assurer que votre téléphone Samsung Galaxy est mis à jour et que vous respectez certaines règles de base pour votre sécurité.
Pour vous protéger contre les logiciels malveillants, vous devez éviter de télécharger des applications en dehors du Play Store, même lorsqu’il s’agit d’une mise à jour d’une application déjà installée sur votre téléphone. Pour la plupart des gens, il est préférable de s’en tenir à la plate-forme officielle Google Play Store, car il n’y a que quelques sources fiables et approuvées pour la distribution d’applications en dehors de celle-ci. Si quelqu’un vous envoie un lien pour télécharger une application depuis un endroit autre que le Play Store, il est préférable de l’ignorer ou de rechercher une alternative dans le Play Store.
Pourtant, le Play Store n’est pas toujours parfait, et parfois des logiciels malveillants passent entre les mailles du filet. C’est pourquoi vous devrez faire preuve de bon sens lors de l’installation d’applications. Ne donnez jamais aveuglément aux applications des autorisations dont elles n’ont pas besoin. Vous devez également être prudent lorsque vous accordez l’autorisation d’utiliser les services d’accessibilité lorsqu’il n’est pas clair à 100 % pourquoi l’application en aurait besoin.
Que font les fabricants pour empêcher les fuites de certificats de plate-forme ?
Google a donné aux fabricants et aux autres fournisseurs d’Android quelques devoirs à la suite de l’incident. Les entreprises sont encouragées à faire souvent tourner leurs certificats pour limiter le vecteur d’attaque si un certificat fuit à nouveau pour une raison quelconque. Les fournisseurs sont également invités à utiliser des certificats de plate-forme pour le moins d’applications possible, en optant sinon pour des certificats plus limités. C’est quelque chose sur lequel Samsung doit travailler, étant donné que la société propose des centaines d’applications utilisant le même certificat de plate-forme.
Les fabricants sont encouragés à utiliser la dernière version des certificats, V3. Cela leur permet de remplacer un ancien certificat par un nouveau sans avoir à pousser une mise à jour du système sur leurs appareils. Les anciennes versions de certificat ne le prennent pas en charge, les appareils doivent donc recevoir une mise à jour du système pour accepter les certificats mis à jour.
Il semble que la situation soit maintenant maîtrisée, bien qu’il y ait quelques questions persistantes. On ne sait toujours pas comment les certificats ont fui en premier lieu. Ils devraient être parmi les actifs les mieux protégés pour les ingénieurs en logiciel, car ils peuvent faire des ravages entre de mauvaises mains. On ne sait pas non plus exactement comment l’incident de 2016 avec le malware certifié par Samsung joue dans la situation et s’il est lié à ce qui se passe actuellement.
