Android 4.3 Jelly Bean et les versions antérieures souffrant d'une grave vulnérabilité d'exécution de code

Il est très probable que si vous n’utilisez pas un smartphone ou une tablette Android haut de gamme d’une grande entreprise comme Google Motorola, Samsung, HTC ou LG, vous utilisez un smartphone fonctionnant sous la version Android 4.3 Jelly Bean. Et si vous utilisez un smartphone ou une tablette fonctionnant sous Android 4.3 Jelly Bean ou une version antérieure, vous, ou plutôt votre smartphone/tablette, êtes vulnérable à une grave vulnérabilité d’exécution de code. Cette vulnérabilité a été découverte par l’équipe de sécurité des applications d’IBM, il y a neuf mois. Cette vulnérabilité a été corrigée dans la dernière version d’Android de Google, la version 4.4 KitKat, mais Android 4.3 et les versions antérieures d’Android restent très vulnérables.

Selon les dernières données disponibles, seulement 13,6 % des utilisateurs d’Android ont KitKat sur leur smartphone ou tablette. Ce qui signifie qu’environ 86,4 % des smartphones et tablettes Android sont vulnérables à cette vulnérabilité à haut risque.

• Les chercheurs en sécurité d’IBM ont découvert que la vulnérabilité de débordement de tampon de pile réside dans le service de stockage KeyStore d’Android, qui est responsable du stockage et de la sécurisation des clés cryptographiques de l’appareil.

« Un tampon de pile est créé par la méthode ‘KeyStore::getKeyForName’ » « Cette fonction a plusieurs appelants, qui sont accessibles par des applications externes utilisant l’interface Binder (par exemple, ‘android::KeyStoreProxy::get’). Par conséquent, la variable ‘keyName’ peut être contrôlée avec une taille arbitraire par une application malveillante », a déclaré Hay. « La routine ‘encode_key’ qui est appelée par ‘encode_key_for_uid’ peut déborder le tampon ‘filename’, puisque la vérification des limites est absente. » ont expliqué les experts.

Quiconque ayant des connaissances en programmation API Android peut exploiter avec succès cette vulnérabilité. Une fois exploitée, le hacker peut exécuter un code malveillant sous le processus de keystore. Une fois exécuté, un tel code peut entraîner une fuite sérieuse des informations d’identification de verrouillage de l’appareil. Puisque la clé maître est dérivée des informations d’identification de verrouillage, chaque fois que l’appareil est déverrouillé, ‘Android::KeyStoreProxy::password’ est appelé avec les informations d’identification.

Elle peut également fuir des clés maîtresses décryptées, des données et des identifiants de clés protégées par matériel de la mémoire et des clés maîtresses cryptées, des données et des identifiants de clés protégées par matériel du disque pour une attaque hors ligne. Les hackers peuvent également interagir à distance avec le stockage protégé par matériel et effectuer des opérations cryptographiques (par exemple, signature de données arbitraires) au nom de l’utilisateur.

• Un potentiel hacker en herbe peut théoriquement exploiter la vulnérabilité ci-dessus qui existe dans tous les appareils Android antérieurs à Android 4.4 KitKat, mais les experts estiment que l’exploitation est assez difficile à exécuter en raison de la présence de nombreuses difficultés telles que la nécessité de contourner les protections basées sur la mémoire propres au système d’exploitation, y compris la prévention de l’exécution des données (DEP) et la randomisation de l’agencement de l’espace d’adresses (ASLR). La prévention de l’exécution des données est une atténuation des exploits utilisée pour empêcher l’exécution de code malveillant, mais les attaquants ont réussi à la contourner en utilisant des attaques de programmation orientée retour (ROP). L’ASLR est utilisé pour atténuer les attaques par débordement de tampon en randomisant les emplacements mémoire utilisés par les fichiers système et d’autres programmes, en mettant en œuvre cette technique, il est difficile de deviner l’emplacement d’un processus donné.

• « Cependant, le KeyStore Android est réinitialisé chaque fois qu’il se termine. Ce comportement permet une approche probabiliste ; de plus, l’attaquant peut même théoriquement abuser de l’ASLR pour vaincre l’encodage », indique le post.

• Les experts ont confirmé qu’ils n’avaient pas encore vu la faille exploitée dans la nature.