Le bug Toctou qui rend vulnérable 50% des appareils Android
Un bug d’Android permet de détourner des applications légitimes par des malware, une vulnérabilité qui touche près de 50% des smartphones fonctionnant avec l’OS de Google.
Toctou, pour « Time of check to time of use », est bug causé par la différence entre le moment où les conditions de vérifications d’un usage sont validées et l’utilisation du résultat de cette vérification si les conditions d’usages ont changé entre temps. Bien que cela puisse sembler confus, c’est en fait relativement simple à comprendre.
Lorsqu’on veut installer une nouvelle application, on commence par télécharger le fichier APK avant de l’installer après l’invite de validation. Le bug Toctou se situe dans le service PackageInstaller d’Android. Il ne vérifie pas que l’application réellement installée (Time of use) est bien celle que l’utilisateur a sélectionnée (Time of check). Grâce à ce bug, des pirates peuvent parfaitement se débrouiller pour détourner (hijacking) le fichier APK initial par un autre fichier malveillant.
Cette faille, baptisée « Android Installer Hijacking », a été découverte il y a plus d’une année. Elle pourrait toucher 49,5% des utilisateurs des smartphones Android, c’est-à-dire tous ceux équipés des versions Android 2.3, 4.0.3, 4.0.4, 4.1.x, et 4.2.x.
C’est dans le but de faire bouger les choses que les experts de Palo Alto ont décidé de rendre publique cette faille aujourd’hui.
La bonne nouvelle est que si tous les smartphones équipés de ces anciennes versions d’Android sont vulnérables, le danger réel n’existe que si leurs utilisateurs installent des applications depuis des stores alternatifs. En effet, les applications installées à partie du Play Store de Google sont systématiquement installées dans un espace sécurisé du système contrairement aux autres fichiers APK généralement stockés dans un répertoire non protégé. C’est justement dans cet espace non protégé que le hacker va mener son opération de piratage.
En réponse à cette annonce, Google répond que la faille a été corrigée dans les versions 4.3 et 4.4 d’Android. Palo Alto prévient tout de même que les fabricants n’intègrent pas encore la vérification du hash ajoutée dans le correctif. De fait, la meilleure façon de se prémunir de cette faille est de passer à Android 4.4 ou plus.