Plus d'un milliard d'appareils Android ont ces applications vulnérables installées

Les chercheurs en sécurité de l’équipe Microsoft Threat Intelligence ont révélé une vulnérabilité liée à un parcours de fichiers, surnommée l’attaque « Dirty Stream », dans plusieurs applications Android populaires.

Cette vulnérabilité pourrait permettre à une application malveillante d’écraser des fichiers arbitraires dans le répertoire personnel de l’application vulnérable.

Dans un rapport publié mercredi, Dimitrios Valsamaras de l’équipe Microsoft Threat Intelligence a déclaré : « Les implications de ce modèle de vulnérabilité incluent l’exécution de code arbitraire et le vol de jetons, en fonction de l’implémentation d’une application. »

Il a ajouté : « L’exécution de code arbitraire peut donner à un acteur malveillant un contrôle total sur le comportement d’une application. Pendant ce temps, le vol de jetons peut donner à un acteur malveillant accès aux comptes de l’utilisateur et à des données sensibles. »

La découverte a affecté plusieurs applications vulnérables dans le Google Play Store, représentant plus de quatre milliards d’installations.

Deux des applications jugées vulnérables au problème incluent le gestionnaire de fichiers de Xiaomi Inc. (com.mi.Android.globalFileexplorer), qui a plus d’un milliard d’installations, et WPS Office (cn.wps.moffice_eng), qui a plus de 500 millions de téléchargements.

Le système d’exploitation Android impose une isolation en attribuant à chaque application son propre espace de données et de mémoire dédié, en particulier le composant fournisseur de contenu et sa classe ‘FileProvider’, qui facilite le partage sécurisé de données et de fichiers avec d’autres applications installées.

Lorsqu’il est mal implémenté, cela peut introduire des vulnérabilités qui pourraient permettre de contourner les restrictions de lecture/écriture dans le répertoire personnel d’une application.

« Ce modèle basé sur le fournisseur de contenu offre un mécanisme de partage de fichiers bien défini, permettant à une application de servir de partager ses fichiers avec d’autres applications de manière sécurisée avec un contrôle granulaire », a noté Valsamaras.

« Cependant, nous avons fréquemment rencontré des cas où l’application consommatrice ne valide pas le contenu du fichier qu’elle reçoit et, ce qui est le plus préoccupant, elle utilise le nom de fichier fourni par l’application serveuse pour mettre en cache le fichier reçu dans le répertoire de données internes de l’application consommatrice. »

L’exécution de code malveillant peut être réalisée en permettant à un acteur malveillant d’avoir un contrôle total sur le comportement d’une application et de la faire communiquer avec un serveur sous son contrôle pour accéder à des données sensibles.

Dans le cadre de la politique de divulgation responsable de Microsoft, l’entreprise a partagé ses découvertes avec les développeurs d’applications Android qui ont été affectés par Dirty Stream. Par exemple, les équipes de sécurité de Xiaomi, Inc. et WPS Office ont déjà enquêté et corrigé le problème.

Cependant, l’entreprise pense que d’autres applications pourraient être impactées et probablement compromises en raison de la même faiblesse de sécurité. Par conséquent, elle recommande à tous les développeurs d’analyser ses recherches et de s’assurer que leurs produits ne sont pas affectés.

« Nous prévoyons que le modèle de vulnérabilité pourrait être trouvé dans d’autres applications. Nous partageons cette recherche afin que les développeurs et les éditeurs puissent vérifier leurs applications pour des problèmes similaires, corriger si nécessaire et éviter d’introduire de telles vulnérabilités dans de nouvelles applications ou versions », a ajouté Valsamaras.

Reconnaissant que ce modèle de vulnérabilité pourrait être répandu, Microsoft a également partagé ses découvertes avec l’équipe de recherche sur la sécurité des applications Android de Google.

Le géant de la recherche a publié un article sur le site des développeurs Android pour aider les développeurs à éviter d’introduire ce modèle de vulnérabilité dans leurs applications.

Pendant ce temps, les utilisateurs peuvent atténuer le risque en maintenant leurs appareils Android et les applications installées provenant de sources fiables à jour.