-
Ajouter aux favoris
News modeste
jeudi 4 juillet 2019
Les spécialistes de Doctor Web travaillent en permanence pour améliorer les produits antivirus Dr.Web. Nos lecteurs sont habitués aux news concernant les mises à jour. Et souvent, derrière une news qui pourrait sembler anodine, se trouvent des informations très importantes.
La nouvelle version de l’application comprend les améliorations suivantes :
- La détection de signes de contamination dans des applications installées depuis un moment a été améliorée.
- La détection des applications contaminées compressées par Bangcle, Secshell et par la nouvelle version de Tencent a été ajoutée.
Cette news a accompagné une mise à jour de Dr.Web Antivirus pour Android Light (vers la version 11.2.2). Il pourrait sembler que des informations sur l’amélioration de l’analyse des applications installées il y a déjà un moment ne soient pas très intéressantes. Mais en réalité, nous avons corrigé un bug très intéressant et qui n’était pas de notre fait !
Comme vous le savez, le rôle des extensions de fichiers dans les systèmes d'exploitation Windows, d'une part, et Linux et Android, d'autre part, est tout à fait différent. Dans Windows, les extensions désignent les logiciels à même de traiter les fichiers. Bien évidemment, dans tous les cas, le fichier sera analysé par le système pour voir s’il est possible de le traiter. Grosso modo, si vous renommez un fichier .exe en un fichier .txt, il sera possible de le lancer mais ce sera plus difficile. Dans certains OS, l'extension peut être utilisée mais elle n'a qu'une valeur informationnelle. Lorsque vous ouvrez ou lancez un fichier, il est analysé par l'OS et selon les résultats de l'analyse de sa structure, le logiciel pouvant le traiter sera sélectionné.
Comme on le sait, les fichiers peuvent être signés. Mais souvent ce n'est qu’une partie du fichier qui est signée. Il peut y avoir différentes raisons à cela. Par exemple, si un fichier est assez volumineux, le calcul de la somme de contrôle peut prendre beaucoup de temps. Ou bien une partie du fichier contient des données sensibles, qui sont signées, tandis que la partie informationnelle du fichier contenant des données sur le contenu peut être formée après la signature.
Ce cas de figure a donné naissance à la vulnérabilité CVE-2017-13156, plus connue sous le nom de Janus. Cette vulnérabilité permet aux pirates d'insérer un code malveillant dans des logiciels sans toucher à la partie signée du fichier.
En utilisant cette vulnérabilité dans le système Android, les cybercriminels ont créé un Trojan capable de contaminer des applications installées.
L'architecture Android comprend que tous les éditeurs doivent signer leurs applications. Lors de l'installation des mises à jour, le système vérifie leur signature numérique et si elle correspond à la version courante, la mise à jour peut être installée.
La vulnérabilité Janus permet d'introduire dans le fichier APK, qui est une archive, un fichier exécutable modifié DEX, qui n'a aucun impact sur la signature numérique. En d'autres termes, à l'aide de la vulnérabilité Janus, les pirates peuvent remplacer le fichier exécutable d'une application par une copie malveillante tout en gardant toutes les permissions système du fichier original. Dans ce cas, cette copie peut être installée et lancée sur un appareil ayant la vulnérabilité.
La vulnérabilité affecte uniquement les applications qui utilisent la signature numérique basée sur JAR, remplacée par la nouvelle technologie Signature Scheme v2 dans Android 7.0 Nougat. Dans les nouvelles versions d’Android, seules les applications qui n'utilisent pas la technologie actuelle de signature numérique et des applis qui ne sont pas téléchargées sur Google Play sont sujets à cette vulnérabilité. Les versions suivantes de l'OS Android sont vulnérables : 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0.
Pourquoi Janus ? Parce qu'il a beaucoup de visages.
Le fichier APK utilisé dans Android contient des archives zip et des octets au début, avant les enregistrements zip ainsi qu'entre des enregistrements. La signature JAR ne prend en compte que des archives internes zip, mais elle ne concerne pas les octets complémentaires. Le fichier DEX peut contenir des octets à la fin. Le schéma est clair, un fichier peut en même temps être considéré comme fichier APK et comme DEX !
En théorie, Android télécharge un fichier APK, en extrait son fichier DEX puis lance son code. Dans la pratique, la machine virtuelle peut charger et exécuter les fichiers APK aussi bien que les fichiers DEX. Lorsque le système reçoit un fichier APK, il regarde les octets dans son en-tête pour voir quel est le type de fichier. Si un en-tête DEX est trouvé, le système charge le fichier en tant que fichier DEX. Dans le cas contraire, il charge le fichier en tant que fichier APK contenant une entrée zip avec le fichier DEX.
Comme cette vulnérabilité peut-elle être exploitée par des pirates ?
Lorsqu'un utilisateur télécharge la mise à jour d'une application, l'environnement Android compare sa signature avec la signature de la version d'origine. Si les signatures coïncident, l'environnement Android continue à installer la mise à jour. Une application renouvelée hérite des permissions de l'application originale. Par conséquent, les attaquants peuvent exploiter la vulnérabilité Janus pour déjouer le processus de mise à jour et pour obtenir un code non vérifié ayant des permissions avantageuses et pouvant être exécuté sur les appareils d’utilisateurs crédules.
Un attaquant peut remplacer une application de confiance avec des privilèges élevés (par exemple, une application système) par une mise à jour modifiée pour profiter de ces privilèges. En fonction de l'application ciblée, ceci peut permettre à un pirate d'accéder à des informations confidentielles stockées sur l'appareil, ou même d'usurper le dispositif. Sinon, un attaquant peut transmettre un clone modifié de l'application en question en tant que mise à jour légitime, par exemple, dans le contexte bancaire. Une telle application clonée peut avoir l’apparence et le comportement de l'application d'origine mais mener une activité malveillante.
Pour télécharger un code malveillant, la vulnérabilité CVE-2017-13315 est utilisée, c'est une des vulnérabilités du groupe EvilParcel. Nous en parlerons en détail dans nos prochaines publications.
#Android #mobile #signature_numérique #vulnérabilité #exploit #mise_à_jour_de_sécurité
Le projet Lumières sur la sécurité recommande
Si Dr.Web Antivirus pour Android a détecté une ou plusieurs vulnérabilités de la classe EvilParcel, il est recommandé de contacter le fabricant pour obtenir les mises à jour du système d'exploitation approprié.
Installer les mises à jour !
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 0 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
Неуёмный Обыватель
23:12:46 2019-07-09
Шалтай Александр Болтай
21:40:10 2019-07-04
Toma
21:28:46 2019-07-04
Татьяна
20:34:23 2019-07-04
ka_s
19:12:53 2019-07-04
Masha
18:34:17 2019-07-04
Dmur
16:30:01 2019-07-04
Bernard
15:53:07 2019-07-04
L'analyse comportementale de Katana ne permet-elle pas d'identifier le comportement anormal d'une application ainsi modifiée car les communications avec le serveur des pirates doivent pouvoir être remarquées.
Quant au fabricant très souvent il ne vous répond pas et certains font leur mise à jour très tardivement.
Dans ce cas l'utilisateur particulier n'a aucune emprise sur ces grosses entreprises et subit leur bon vouloir.
EvgenyZ
12:35:33 2019-07-04
razgen
12:26:08 2019-07-04
Пaвeл
08:52:27 2019-07-04