Une faille XFO (X-Frame-Options) dans le Play Store Android permet l'exécution de code à distance

Une vulnérabilité sur l’application Play Store de Google rend les utilisateurs Android vulnérables aux malwares.

La faille XFO, également connue sous le nom de X-Frame-Options, lorsqu’elle est combinée avec un bug récent d’Android WebView (Jelly Bean), crée un moyen pour les hackers d’installer silencieusement n’importe quelle application du Play Store de Google.

Joe Vennix de Rapid7 a identifié la vulnérabilité XFO du Play Store et la société Metasploit a rendu le problème public mardi avec la publication d’un avis, accompagné d’un module Metasploit qui aide les responsables de la sécurité des entreprises à tester les smartphones fournis par l’entreprise pour détecter l’exposition à la vulnérabilité XFO.

Le responsable de l’ingénierie chez Rapid7, Tod Beardsley, avec la société qui est derrière l’outil de test de pénétration Metasploit, a expliqué que de nombreux appareils fonctionnant avec des installations d’Android 4.3 (Jelly Bean) et antérieures sont livrés avec des navigateurs présentant des expositions UXSS [Universal Cross-site Scripting].

Beardsley déclare,

“Les utilisateurs de ces plateformes ont également pu installer des navigateurs tiers vulnérables. Tant que la faille XFO [X-Frame-Options] du Play Store de Google n’est pas atténuée, les utilisateurs de ces applications web qui se connectent habituellement à leur compte Google resteront vulnérables.”

Beardsley explique également que l’exécution de code à distance est réalisée en exploitant deux vulnérabilités sur les appareils Android affectés. En précisant plus de détails sur le module Metasploit,

“Tout d’abord, le module exploite une vulnérabilité de Universal Cross-Site Scripting (UXSS) présente dans les versions du navigateur stock open source d’Android (le navigateur AOSP) ainsi que dans certains autres navigateurs, avant la version 4.4 (KitKat). Deuxièmement, l’interface web du Play Store de Google ne parvient pas à appliquer un en-tête X-Frame-Options: DENY sur certaines pages d’erreur, et peut donc être ciblée pour l’injection de scripts. En conséquence, cela conduit à l’exécution de code à distance via la fonctionnalité d’installation à distance de Google Play, car toute application disponible sur le Play Store de Google peut être installée et lancée sur l’appareil de l’utilisateur.”

Ainsi, utiliser un navigateur comme Google Chrome ou Mozilla Firefox, qui ne sont pas sensibles aux vulnérabilités UXSS largement connues, et ne pas se connecter au Play Store de Google peut aider à atténuer et à éviter cette vulnérabilité.