L'exploitation de la politique de même origine (SOP) d'Android permet aux hackers de détourner vos comptes Facebook

Table des matières

• L’exploitation de la politique de même origine (SOP) d’Android est utilisée pour détourner des comptes Facebook
• Le bug

L’exploitation de la politique de même origine (SOP) d’Android est utilisée pour détourner des comptes Facebook

Un bug de la politique de même origine (SOP) d’Android, découvert par un chercheur pakistanais, Rafay Baloch, est utilisé beaucoup plus largement selon de nouvelles recherches publiées par TrendMicro Labs. Le chercheur de Trend Micro, Simon Huang, déclare qu’ils ont découvert de nombreux cas d’utilisateurs de Facebook ciblés par des attaques exploitant cette faille dans le navigateur web des versions d’Android inférieures à 4.4, car le code Metasploit est disponible publiquement et de nombreux fabricants d’Android n’ont pas encore corrigé ce bug.

Le bug

Le bug, découvert par Rafay Baloch, permet une vulnérabilité universelle de Cross-scripting dans les anciennes versions des smartphones Android. Cette vulnérabilité, qui affecte le composant WebView, se produit lors du remplacement de l’attribut ‘data’ d’un objet HTML donné par un schéma d’URL JavaScript. Un attaquant peut tirer parti de la faille UXSS pour extraire des données de cookies et des contenus de page d’une fenêtre de navigateur vulnérable. Le trou de sécurité peut être exploité sur toutes les versions du navigateur Android Open Source Platform (AOSP), y compris celles utilisant WebView.

Rapid7 a publié le code Metasploit (lien donné ci-dessus) pour cette faille et celui-ci est utilisé publiquement par des attaquants pour servir aux victimes un fichier JavaScript malveillant stocké dans un compte de stockage cloud. Cela se fait en dirigeant la cible vers une certaine page Facebook qui mène à un emplacement malveillant. Le chercheur de Trend, Huang, dit que la page contient du code JavaScript obfusqué qui tente de charger une URL Facebook dans un cadre interne.

La victime ne voit cependant qu’une page blanche se charger selon les balises div définies par l’attaquant dans le HTML, tandis que le cadre interne sera affiché en un pixel.

Huang dit qu’avec le malware en place, l’attaquant peut faire presque n’importe quoi avec le compte Facebook de la victime. Le code JavaScript peut effectuer les activités suivantes avec le compte Facebook des victimes :

• Ajouter des amis
• Aimer et suivre des pages Facebook
• Modifier des abonnements
• Autoriser une application Facebook à accéder au profil public de l’utilisateur, à la liste d’amis, aux informations d’anniversaire, aux likes et aux likes des amis
• Voler les jetons d’accès de la victime et les télécharger sur leur serveur à https://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token;
• Collecter des données analytiques (telles que la localisation des victimes, le référent HTTP, etc.) en utilisant le service légitime à https://whos.{BLOCKED}ung.us/pingjs/
• En plus du code sur le site ci-dessus, Trend a trouvé une attaque similaire à https://www.{BLOCKED}php.com/x/toplu.php. Les chercheurs de Trend croient que les deux ont été créés par le même auteur car ils partagent plusieurs noms de fonctions, ainsi que le client_id de l’application Facebook.

Les chercheurs de Trend Micro ont découvert que le client_id impliqué dans ce malware était “2254487659”. C’est une application officielle de BlackBerry maintenue par BlackBerry.

Trend Micro a ensuite contacté BlackBerry au sujet de leurs découvertes. Ils ont informé BlackBerry que les attaquants voulaient utiliser la confiance du nom de BlackBerry et que le malware essayait de voler les jetons d’accès des utilisateurs, qui pourraient être utilisés pour faire des demandes aux API Facebook et lire les informations des utilisateurs ou publier du contenu sur Facebook au nom de la victime. Blackberry a publié cette déclaration après que Trend les a contactés :

“Le malware mobile utilisant l’exploitation SOP d’Android (exploitation de contournement de la politique de même origine d’Android) est conçu pour cibler les utilisateurs de Facebook, quelle que soit leur plateforme de dispositif mobile. Cependant, il tente de tirer parti de la marque de confiance de BlackBerry en utilisant notre application web Facebook. BlackBerry travaille continuellement avec Trend Micro et Facebook pour détecter et atténuer cette attaque. Notez que le problème n’est pas le résultat d’une exploitation du matériel, du logiciel ou du réseau de BlackBerry.”

Pour le moment, Trend Micro, Facebook et BlackBerry travaillent ensemble pour détecter l’attaque et empêcher qu’elle ne soit menée contre de nouveaux utilisateurs.

Le bug SOP d’Android existe depuis septembre 2014, et tous les appareils Android jusqu’à Android 4.4 KitKat sont vulnérables à cette faille. Il existe des millions de smartphones Android fonctionnant sur des versions plus anciennes d’Android qui peuvent être utilisés pour exploiter ce bug et mener des activités illicites par des cybercriminels. La plupart des smartphones bon marché fonctionnent sur des versions plus anciennes d’Android, ce qui facilite encore plus le travail des cybercriminels. Si vous êtes propriétaire d’un smartphone Android, mettez à jour votre smartphone vers le dernier Android 5.1 Lollipop dès que possible. Si vous utilisez encore un smartphone fonctionnant sur une version obsolète d’Android, il est temps de le jeter.