La faille de contournement de la politique de même origine (SOP) du navigateur Android par défaut permet aux hackers de voler des données des onglets ouverts

Table des matières

• Faille de contournement de la politique de même origine (SOP) du navigateur Android par défaut
• Seuls les navigateurs Android par défaut sont concernés
• Preuve de concept
• Faille de contournement de la SOP corrigée dans Android KitKat 4.4 et versions ultérieures
• Les utilisateurs d’Android >4.4 sont-ils toujours vulnérables ?
• Smartphones vulnérables

Faille de contournement de la politique de même origine (SOP) du navigateur Android par défaut

Rafay Baloch, chercheur en sécurité, a découvert une faille dans les navigateurs Android par défaut qui, selon lui, pourrait être exploitée par des hackers pour voler des données sensibles des onglets/pages ouverts. La dernière vulnérabilité de contournement de la politique de même origine (SOP) est la deuxième découverte par le chercheur Rafay Baloch, qui a découvert la première, CVE-2014-6041, le mois dernier.

Seuls les navigateurs Android par défaut sont concernés

La vulnérabilité de contournement de la politique de même origine (SOP) ne concerne que le navigateur Android par défaut. La vulnérabilité réside dans la manière dont Javascript est géré par la fonction Android responsable du chargement des URL de cadre. Normalement, dans n’importe quel navigateur, la SOP empêche le JavaScript d’une page ou d’un onglet d’accéder aux données/contenus d’une autre page/onglet. Mais le navigateur Android présente une faille qui permet à un hacker potentiel de contourner la SOP et de lire/collecter des données sur les autres onglets. En termes simples, si vous avez un onglet/page ouvert où vous avez rempli vos informations de carte de crédit et que vous ouvrez une page avec le JavaScript qui a contourné la SOP, il y a des chances que le hacker puisse lire les détails de la carte de crédit de l’autre page ouverte.

Preuve de concept

Rafay a publié une preuve de concept sur son weblog pour prouver que les navigateurs Android sont effectivement vulnérables. La PoC est donnée ci-dessous grâce à Rafay Baloch.

Rafay dit dans son blog : “Depuis que mon récent contournement de la SOP Android [CVE-2014-6041] a provoqué beaucoup d’éruptions dans la communauté infosec, j’ai été motivé à faire un peu plus de recherches sur le navigateur Android, il s’avère que les choses sont bien pires que je ne le pensais, j’ai réussi à déclencher plusieurs vulnérabilités intéressantes à l’intérieur du navigateur Android, l’une d’elles étant une autre vulnérabilité de contournement de la politique de même origine. Ce qui aggrave les choses, c’est que le même contournement de la SOP a déjà été corrigé dans Chrome il y a des années, cependant, les correctifs n’ont pas été appliqués au navigateur Android < 4.4.”

Faille de contournement de la SOP corrigée dans Android KitKat 4.4 et versions ultérieures

Rafay dit que Google a remarqué la faille et l’a corrigée dans son dernier système d’exploitation, Android KitKat 4.4. Mais pour une raison étrange, elle n’a pas été corrigée dans les versions Android inférieures à 4.4 par Google. Dans un post séparé sur ThreatPost, Google a déclaré que cette vulnérabilité a été corrigée avec la sortie des versions Android 4.1-4.3 alias Jellybean.

Les utilisateurs d’Android >4.4 sont-ils toujours vulnérables ?

Comme mentionné ci-dessus, les utilisateurs d’Android plus anciens sont toujours vulnérables à cette menace de sécurité majeure. Google distribue les dernières versions d’Android sur ses appareils et tablettes en édition stock comme Google Nexus, etc., et de nombreux grands fabricants déploient le dernier firmware sur leurs produits phares, mais la plupart des smartphones et tablettes sur le marché ne sont ni des appareils Google Play Edition ni des phares comme le Sony Z3 ou le Samsung Galaxy S5.

Cette faille touche la plupart des utilisateurs qui se situent dans le segment des acheteurs de smartphones de milieu et de bas de gamme. La vulnérabilité est un “problème majeur”, a déclaré Ted Eull, vice-président des services mobiles pour le fournisseur de sécurité viaForensics. “Parce que le navigateur était inclus par défaut sur de nombreux appareils avant KitKat (version 4.4), il y a potentiellement des centaines de milliers d’utilisateurs affectés,” a-t-il déclaré.

Smartphones vulnérables

Les téléphones qui sont probablement vulnérables incluent le Samsung Galaxy S3, le Samsung Galaxy Note 2, et tous les smartphones et tablettes Samsung de milieu et bas de gamme, le LG Optimus G, le LG G2 et tous les smartphones et tablettes LG de milieu et bas de gamme, ainsi que le Motorola Droid RAZR, toute la gamme de smartphones de Sony à l’exception de ceux qui ont été mis à niveau vers Android 4.4 KitKat.

Heureusement, seuls les navigateurs Android par défaut sont affectés par la vulnérabilité de contournement de la SOP. Si vous utilisez un smartphone/tablette Android dont le système d’exploitation est antérieur à Android 4.4 KitKat, il est conseillé de naviguer sur le web via Chrome, Firefox ou tout autre navigateur. Si vous n’avez toujours pas téléchargé Chrome ou Firefox, il vous est conseillé de le télécharger maintenant depuis le Google Play Store et de définir CE navigateur comme votre navigateur par défaut.

Si vous utilisez un appareil Android rooté, vous devriez désinstaller le navigateur Android par défaut.

Lorsqu’on lui a demandé de commenter cette vulnérabilité grave et ce qu’ils faisaient pour protéger leurs clients, AT&T n’a pas répondu à une demande de commentaire, tandis que Verizon Wireless a souligné qu’il dispose d’un site Web où les clients peuvent vérifier si des mises à jour sont disponibles pour leur téléphone.

“Nous livrons régulièrement des mises à jour logicielles après des tests approfondis pour garantir que nos clients ont une excellente expérience,” a déclaré Debra Lewis, porte-parole de l’entreprise.