Le bug Toctou qui rend vulnérable 50% des appareils Android

Un bug d’Android permet de détourner des applications légitimes par des malware, une vulnérabilité qui touche près de 50% des smartphones fonctionnant avec l’OS de Google.

Toctou, pour « Time of check to time of use », est bug causé par la différence entre le moment où les conditions de vérifications d’un usage sont validées et l’utilisation du résultat de cette vérification si les conditions d’usages ont changé entre temps. Bien que cela puisse sembler confus, c’est en fait relativement simple à comprendre.

Lorsqu’on veut installer une nouvelle application, on commence par télécharger le fichier APK avant de l’installer après l’invite de validation. Le bug Toctou se situe dans le service PackageInstaller d’Android. Il ne vérifie pas que l’application réellement installée (Time of use) est bien celle que l’utilisateur a sélectionnée (Time of check). Grâce à ce bug, des pirates peuvent parfaitement se débrouiller pour détourner (hijacking) le fichier APK initial par un autre fichier malveillant.

Cette faille, baptisée « Android Installer Hijacking », a été découverte il y a plus d’une année. Elle pourrait toucher 49,5% des utilisateurs des smartphones Android, c’est-à-dire tous ceux équipés des versions Android 2.3, 4.0.3, 4.0.4, 4.1.x, et 4.2.x.

C’est dans le but de faire bouger les choses que les experts de Palo Alto ont décidé de rendre publique cette faille aujourd’hui.

La bonne nouvelle est que si tous les smartphones équipés de ces anciennes versions d’Android sont vulnérables, le danger réel n’existe que si leurs utilisateurs installent des applications depuis des stores alternatifs. En effet, les applications installées à partie du Play Store de Google sont systématiquement installées dans un espace sécurisé du système contrairement aux autres fichiers APK généralement stockés dans un répertoire non protégé. C’est justement dans cet espace non protégé que le hacker va mener son opération de piratage.

En réponse à cette annonce, Google répond que la faille a été corrigée dans les versions 4.3 et 4.4 d’Android. Palo Alto prévient tout de même que les fabricants n’intègrent pas encore la vérification du hash ajoutée dans le correctif. De fait, la meilleure façon de se prémunir de cette faille est de passer à Android 4.4 ou plus.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentFord : un limiteur de vitesse pour éviter les dépassements
Article suivantCloud Drive : Amazon propose du stocke illimité

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here