Un nouveau très dangereux, une vulnérabilité critique a été identifiée dans le système d'exploitation Android.
La vulnérabilité ressemble à la faille StrandHogg, révélé l'an dernier, mais est encore plus sophistiqué.
Surnommé StrandHogg 2.0 et également connu sous le nom de CVE-2020-0096, la vulnérabilité affecte tous les appareils Android, sauf ceux qui exécutent la version Android la plus récente, Android Q / 10. La mauvaise nouvelle est que la dernière version est utilisée par un petit pourcentage de tous les appareils Android - 15 à 20%. Cela signifie que des milliards d'appareils Android sont exposés au StrandHogg sophistiqué 2.0 attaque.
Strandhogg 2.0 expliqué
Tout d'abord, il s'agit d'une vulnérabilité d'élévation de privilèges, qui a été découvert par les chercheurs de Promon. La faille pourrait permettre aux acteurs de la menace d'accéder à presque toutes les applications sur un appareil Android.
Selon le Rapport officiel, la faille a été classée «gravité critique» (CVE-2020-0096) par Google. En raison des similitudes avec la vulnérabilité StrandHogg découvertes par les mêmes chercheurs dans 2019, le bug a été surnommé StrandHogg 2.0.
"Alors que StrandHogg 2.0 permet également aux pirates de pirater presque toutes les applications, il permet des attaques plus larges et est beaucoup plus difficile à détecter, ce qui en fait, en effet, le «jumeau maléfique» de son prédécesseur,» Les chercheurs.
Comment est Strandhogg 2.0 l'attaque exécutée?
Strandhogg 2.0 se fait par réflexion, permettant ainsi aux applications malveillantes de reprendre librement l'identité des applications légitimes tout en restant complètement cachées.
Une fois qu'une application malveillante est installée, la vulnérabilité permet aux attaquants d'effectuer diverses actions malveillantes, comme:
- accéder à des SMS et des photos privés;
- voler les informations de connexion de la victime;
- suivre les mouvements GPS de la victime;
- faire ou enregistrer des conversations téléphoniques;
- utiliser la caméra et le microphone de l'appareil pour espionner la victime.
Inutile de dire, StrandHogg 2.0 est bien pire que son jumeau, car il est capable d'attaquer dynamiquement presque n'importe quelle application simultanément en appuyant sur un bouton. En comparaison, la première vulnérabilité pourrait permettre des attaques où une seule application a été attaquée à la fois. Cette nouvelle fonctionnalité rend la deuxième version de la faille beaucoup plus dangereuse - aucun accès root n'est requis pour que l'attaque se produise, ni aucune autorisation de l'appareil.
“En exploitant cette vulnérabilité, une application malveillante installée sur un appareil peut attaquer et tromper l'utilisateur de sorte que lorsque l'icône de l'application d'une application légitime est cliquée, une version malveillante s'affiche à la place sur l'écran de l'utilisateur,” Des chercheurs de Promon ont expliqué.
Qu'est-ce qui se passe ensuite? Si l'utilisateur saisit ses informations de connexion sur l'interface de l'application malveillante, les détails seront immédiatement envoyés aux assaillants. L'accès à ces informations permet aux attaques de mener d'autres activités malveillantes.
Cependant, ce qui fait StrandHogg 2.0 si menaçant est qu'il est beaucoup plus difficile à détecter en raison de son exécution basée sur le code.
Les attaquants exploitant StrandHogg doivent entrer explicitement et manuellement les applications qu'ils ciblent dans Android Manifest, avec ces informations devenant alors visibles dans un fichier XML qui contient une déclaration d'autorisations, y compris quelles actions peuvent être exécutées. Cette déclaration de code requis, qui peut être trouvé dans le Google Play Store, n'est pas le cas lors de l'exploitation de StrandHogg 2.0, le rapport a clarifié.
Qu'est-ce que cela signifie? Le pirate peut encore obscurcir l'attaque, car aucune configuration externe n'est nécessaire pour exécuter cette attaque. Cela est possible car le code extrait de Google Play n'est pas signalé comme suspect par les développeurs et les chercheurs en sécurité..
En outre, cela signifie également que Android malware exploiter le StrandHogg 2.0 la faille sera également plus difficile à détecter par les scanners de sécurité et antivirus, rendre l'utilisateur final plus vulnérable.
Les chercheurs de Promon pensent que les attaquants utiliseront ensemble les deux vulnérabilités, assurant ainsi une zone cible plus large.
Qu'en est-il des atténuations? Malheureusement, les atténuations contre StrandHogg ne fonctionneront pas contre StrandHogg 2.0, et vice versa. Heureusement, les appareils exécutant la dernière version d'Android ne sont pas sujets à l'attaque mais leur nombre est trop petit. Selon les dernières statistiques de Google jusqu'en avril 2020, 91.8% des utilisateurs Android actifs dans le monde sont sur la version 9.0 ou plus tôt.
Google a été informé de la vulnérabilité en décembre 2019. Google a déjà déployé un correctif auprès des partenaires de l'écosystème Android le mois dernier. un correctif de sécurité fixe pour les versions Android 8.0, 8.1, et 9 devrait être déployé auprès du grand public en mai 2020, Promon ajouté.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: