Une application Android change les icônes de l’écran d’accueil

Les chercheurs en sécurité de FireEye Mobile ont récemment trouvé une application malware qui s'insère dans la gestion des menus du bureau et qui essaie de les modifier.

Google a reconnu le problème et a récemment sorti une patch pour les partenaires OEM. Les chercheurs de FireEye Yulong Zhang, Hui Xue et Tao Wei ont déclaré " la possibilité de manipuler les icônes de l'écran d'accueil Android, quand on en abuse, peut permettre à un attaquant de tromper un utilisateur". On peut effectivement facilement imaginer une tentative de phishing en inter-changeant deux icônes du bureau.

Android a précisé pour ses applications un ensemble de niveaux qui ont pour but de délimiter les droits et les interactions des applications avec le système. On retrouve dans ces niveaux "système" "normal" "dangereux", "signature" et "développement".

FireEye a remarqué des autorisations de type "dangereux" et "normal" concernant l'application malicieuse. La permission "dangereux" signifie qu'il est affiché sur l'écran du mobile un avertissement et une demande de confirmation avant de procéder à une exécution et installation sur un périphérique. En revanche, une autorisation "normale" signifie que toute les autorisations sont accordées automatiquement sans demander l'approbation claire de l'utilisateur. Cependant, les utilisateurs ont la possibilité de lire cette autorisation avant d'installer n'importe quelle application afin d'en être avertit.

Sur la version Android 4.4.2, si une demande est faite depuis une application en mode "dangereux" et en mode "normal", Android va afficher uniquement la permission "dangereux" qui est montré ci-dessous :

AndroidFlaw01

Si une demande d'application pour l'autorisation est en mode "normal", Android n'affiche que la permission "normale" qui est montré ci-dessous :

AndroidFlaw02

Dans ce cas, si l'application ne montre pas l'autorisation normale à l'utilisateur, l'application peut être changée à l'insu de l'utilisateur. Un attaquant peut manipuler des icônes sur l'écran d'accueil avec deux autorisations, qui permettent une application pour interroger, ajouter, supprimer ou modifier l'ensemble des paramètres de configuration de l'application lanceur. Un attaquant peut modifier le réglage de l'icône du système en modifiant l'icône par défaut de sécurité ou des applications sensibles. Cependant, ces deux autorisations ont été marquées comme «normal» depuis Android 1.x.

Les chercheurs ont ajouté, «Nous avons testé et confirmé cette attaque sur un appareil Nexus 7 avec Android 4.4.2. Google Play n'empêche pas l'application d'être publiée et il n'y a pas d'avertissement lorsqu'un utilisateur la télécharge et l'installe. "

Google a conseillé aux développeurs de mettre à jour leurs correctifs de sécurité afin que les utilisateurs soient le moins impactés possible. Beaucoup d'entre nous ont reçu des correctifs de sécurité pour les applications installées, ce qui assure notre sécurité contre les éventuels bugs et de la vulnérabilité.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Mickael Dorigny

Fondateur d'IT-Connect.fr et d'Information-security.fr. Auditeur sécurité chez Amossys.

    mickael has 478 posts and counting.See all posts by mickael

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

     

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.