Man-in-the-Disk : une nouvelle et dangereuse manière de hacker Android

Android est un bon système d’exploitation dont les développeurs se soucient vraiment de la sécurité, mais avec autant de versions d’OS et d’applications, garder un œil sur tout cela est une tâche herculéenne. Par conséquent, de nouvelles manières de passer outre les mécanismes de sécurité intégrés apparaissent régulièrement. La dernière méthode pour pirater Android est appelée « Man-in-the-Disk » et c’est ce dont nous allons parler aujourd’hui.

Les « Sandboxes », le pilier de la sécurité d’Android

Un des principes majeurs d’Android est que toutes les applications doivent être isolées les unes des autres. Ce principe est appliqué grâce à ce qui est appelé des sandboxes. Chaque application vit, avec ses propres fichiers privés, dans une « sandbox » à laquelle les autres applications ne peuvent accéder.

L’idée est d’empêcher une application malveillante, même si elle arrive à infiltrer votre appareil Android, de voler les données que d’autres applications honnêtes conservent, comme le mot de passe et le nom d’utilisation de votre application bancaire ou l’historique de vos messages. Ce n’est donc pas étonnant que les hackers cherchent à trouver de nouvelles manières de contourner ce mécanisme, cherchant « une issue aux sandboxes ». Et ils y arrivent parfois.

Par exemple, le discours de Slava Makkaveev durant la Def Con 26 était centré sur comment une application sans permissions particulièrement suspectes ou dangereuses peut sortir de la sandbox. Il a baptisé la méthode « Man-in-the-Disk », dans la continuité des célèbres attaques du Man-in-the-Middle.

Le fonctionnement des attaques Man-in-the-Disk

Séparément des aires des sandboxes qui hébergent les fichiers des applications, le système Android dispose d’un stockage externe partage, nommé logiquement « Stockage externe ». Une application doit demander la permission à l’utilisateur pour accéder à ce stockage : « Accéder aux photos, médias et fichiers sur votre appareil (ce qui représente dans les faits deux permissions différentes – READ_EXTERNAL_STORAGE et WRITE_EXTERNAL_STORAGE). Habituellement, ces privilèges ne sont pas considérés comme dangereux, et presque toutes les applications les demandent, la requête n’a donc rien de suspect.

Les applications utilisent le stockage externe pour pas mal de choses comme l’échange de fichiers ou le transfert de fichiers entre un smartphone et un ordinateur. Néanmoins, le stockage externe est aussi régulièrement utilisé pour le stockage temporaire de données téléchargées depuis Internet : d’abord, la donnée est écrite sur la partie du disque partagée, et n’est transférée qu’après sur une partie isolée à laquelle seule cette application particulière peut accéder.

Par exemple, une application peut utiliser temporairement la zone pour stocker des modules supplémentaires qu’elle installe pour augmenter ses fonctionnalités, des contenus additionnels comme des dictionnaires ou encore des mises à jour. Le problème est que n’importe quelle application avec un accès lecture/écriture au stockage externe peuvent obtenir un accès aux fichiers et les modifier, pour y ajouter des éléments malveillants.

Dans la réalité, vous pouvez installer une application qui parait inoffensive, comme un jeu, qui peut pour autant infecter votre smartphone avec des éléments très dangereux.

Les créateurs d’Android réalisent vraiment que l’utilisation du stockage externe peut être dangereuse, et le site des développeurs d’Android propose même quelques conseils utiles pour les programmeurs d’applications.

Le problème, c’est que tous les développeurs d’applications, employés de Google ou fabricants de smartphones, ne suivent pas les conseils. Des exemples présentés par Slava Makkaveev incluent l’exploitation de cette vulnérabilité dans Google Translate, Yandex.Translate, Google Voice Typing et Google Text-to-Speech, ainsi que dans certaines applications système de chez LG et du navigateur Xiaomi.

En outre, les chercheurs de Google ont récemment découvert que la même attaque Man-in-the-Disk peut être appliquée à la version Android du très populaire jeu Fortnite. Pour télécharger le jeu, les utilisations doivent d’abord installer une application d’aide, une application qui doit télécharger les fichiers du jeu. Il s’avère que, en utilisant une attaque Man-in-the-Disk, un attaquant peut tromper l’application d’aide pour qu’elle installe une application malveillante. Les développeurs de Fortnite –Epic Game- sont conscient de cette vulnérabilité et ont déjà sorti une nouvelle version de l’installateur. Donc si vous jouez à Fortnite, utilisez la version 2.1.0 ou plus récent pour rester en sécurité. Si Fortnite est déjà installé, désinstallez-le et réinstallez-le entièrement en utilisant la version précédemment citée.

Protéger votre système Android d’une attaque Man-in-the-Disk

Makkaveev n’a présenté que quelques applications très populaires pour démontrer à quel point le problème était important, mais les applications vulnérables sont légions.

Comment pouvez-vous vous protéger ? Nous avons quelques conseils pour vous aider :

  • N’installez que des applications depuis des sites officiels comme le Google Play. Des malwares arrivent parfois à s’y faufile mais c’est beaucoup plus rare et ils sont supprimés très régulièrement.
  • Désactivez l’installation d’applications de sources tierces dans les paramètres de votre smartphone ou de votre tablette ; ce sont les sources les plus dangereuses. Pour cela, sélectionnez Paramètres -> Sécurité et décochez Sources inconnues.

  • Choisissez des applications fournies par des développeurs vérifiés. Consultez la notation de l’application et lisez les commentaires. Evitez l’installation si quelque chose vous parait louche.
  • N’installez rien qui ne vous soit pas utile. Il vaut toujours mieux avoir le moins d’applications possibles.
  • Pensez à supprimer les applications dont vous n’avez pas besoin.
  • Utilisez une application antivirus mobile fiable qui vous alertera à temps si une application malveillante essaie de pénétrer dans votre appareil.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *