À propos de ce blog

Thèmes Populaires

Plusieurs éléments de recherche publiés par F-Secure Labs démontrent que les configurations et paramètres régionaux par défaut de certains appareils Android phares, ont des problèmes de sécurité qui affectent leurs utilisateurs dans certains pays mais pas dans d’autres. Selon le directeur de la recherche britannique de F-Secure Consulting, James Loureiro, cette recherche met en évidence les problèmes de sécurité qui peuvent échapper par inadvertance aux fabricants, lors de la personnalisation de versions Android. « Les appareils qui partagent la même marque sont supposés fonctionner de la même manière, quel que soit l’endroit où vous vous trouvez dans le monde. Cependant, la personnalisation effectuée par des fournisseurs tels que Samsung, Huawei et Xiaomi peut laisser ces appareils avec une sécurité considérablement médiocre en fonction de la région dans laquelle l’appareil est utilisé, ou en fonction de la carte SIM à l’intérieur de celui-ci », a déclaré Loureiro. «Plus précisément, nous avons observé des appareils fournis avec plus de 100 applications ajoutées par le fournisseur, favorisant donc une surface d’attaque importante, et qui peut changer selon la région

 

Non sécurisés par défaut

Les fournisseurs associent souvent leurs propres applications avec les téléphones. Ceux-ci peuvent offrir des avantages supplémentaires aux utilisateurs, ce qui leur permet de se différencier des concurrents. Mais il y a des inconvénients à cela. Et ces inconvénients peuvent être beaucoup plus importants que de proposer

Un nombre excessif d’applications n’est pas bon pour la sécurité. Il élargit la surface d’attaque d’un appareil en donnant aux attaquants plus de cibles potentielles. Et lorsque ces applications sont incluses dans la configuration par défaut de l’appareil, les vulnérabilités de ces applications peuvent entraîner des problèmes de sécurité pour l’ensemble de l’appareil. C’est ainsi que Loureiro et ses collègues ont pu développer une attaque pour compromettre le Mate 9 Pro de Huawei.

L’accès à Google Play est interdit en Chine. Cela oblige les fournisseurs à proposer leurs propres stores d’applications. Les appareils Huawei ont un store d’applications dédié appelé Huawei AppGallery. Les recherches de F-Secure Consulting ont révélé plusieurs vulnérabilités présentes dans Huawei AppGallery, qu’un attaquant pourrait exploiter pour lancer des attaques supplémentaires. Il pourrait utiliser des vulnérabilités supplémentaires découvertes dans le Huawei iReader, pour exécuter du code et voler des données de l’appareil.

Certaines personnes pourraient être tentées de percevoir cela comme une situation isolée et spécifique uniquement à la Chine en raison de restrictions locales. Cependant, les recherches sur le Xiaomi Mi 9 montrent que ce n’est pas si simple.

En trompant les utilisateurs (par exemple par e-mail ou SMS) pour visiter un site Web contrôlé par un attaquant, les recherches de F-Secure Consulting démontrent qu’il est possible de compromettre la configuration par défaut du Xiaomi Mi 9 pour la Chine, l’Inde, la Russie et peut-être d’autres pays. En exploitant les vulnérabilités découvertes par les chercheurs dans la boutique GetApps de Xiaomi, un attaquant pourrait prendre le contrôle total de l’appareil. La même recherche a mis en évidence une deuxième attaque similaire menée via des balises NFC contrôlées par l’attaquant. Les deux attaques donnent aux adversaires l’accès dont ils ont besoin pour voler des données, ou installer des logiciels malveillants sur les appareils compromis.

 

Des cartes SIM à problèmes…

En utilisant une approche plus originale, les chercheurs de F-Secure ont démontré qu’une attaque contre le Samsung Galaxy S9 ne dépendait pas d’un paramètre ou d’une configuration du téléphone en lui-même, mais en partie de la façon dont le téléphone semble changer son comportement en fonction de sa carte SIM. Le code de l’appareil Samsung détecte le Mobile Country Code (MCC) utilisé par la carte SIM. Certaines applications ajustent leur comportement si elles détectent un MCC chinois (460). Dans un cas (mécanisme de mise à jour GameServiceReceiver de Samsung), les chercheurs de F-Secure ont appris à utiliser cette modification pour compromettre l’appareil.

Pour effectuer cette attaque, un adversaire doit manipuler un utilisateur du Galaxy S9 affecté pour qu’il se connecte à un réseau Wi-Fi sous son contrôle (par exemple en se faisant passer pour un Wi-Fi public gratuit). Si le téléphone détecte une carte SIM chinoise, le composant affecté accepte les mises à jour non chiffrées, permettant à un adversaire de compromettre l’appareil avec une attaque d’homme au milieu. En cas de succès, l’attaquant aura le contrôle total du téléphone.

 

Une affaire de deux normes de sécurité

F-Secure Consulting a fait cette série de découvertes au cours des dernières années lors de la préparation des compétitions de piratage Pwn2Own. Chez Pwn2Own, les participants se font concurrence pour compromettre des appareils sélectionnés, en utilisant des vulnérabilités précédemment non divulguées (zero-days).

Cependant, ces vulnérabilités ne peuvent être qu’une goutte d’eau dans l’océan des problèmes de sécurité. Selon IDC, Android est le plus grand système d’exploitation au monde pour les téléphones mobiles. Selon certaines statistiques, c’est la période du système d’exploitation la plus populaire.

En raison de sa domination écrasante du marché mondial des smartphones, le paysage fragmenté des problèmes de sécurité pose des défis importants. Toby Drew, consultant principal en sécurité de F-Secure Consulting, qui a contribué à la recherche sur l’attaque du Xiaomi Mi 9, craint que ces différences régionales créent différents niveaux de sécurité pour les utilisateurs de différents pays. « Il est important que les fabricants tiennent compte de l’aspect sécurité lorsqu’ils personnalisent leurs appareils pour différentes régions. Les habitants d’une région n’ont pas plus ou moins droit à la sécurité qu’une autre. Et si vous avez le même appareil configuré pour offrir une expérience moins sécurisée aux utilisateurs d’une région par rapport à une autre, cela crée un type d’inégalité en augmentant leur exposition aux attaques », explique Toby.

Mark Barnes, Consulting Senior Security Researcher chez F-Secure, et qui a également contribué à la recherche sur le Xiaomi Mi 9, souligne que à mesure que le nombre de versions Android personnalisées se répand, il en va de même de l’importance de la recherche sur la sécurité.

« Trouver des problèmes comme ceux-ci sur plusieurs modèles bien connus montre que c’est un domaine que la communauté de la sécurité doit examiner plus attentivement », a-t-il déclaré. « Nos recherches nous ont donné un aperçu du problème de la prolifération des versions Android personnalisées, d’un point de vue sécurité. Et il est vraiment important de sensibiliser les fabricants d’appareils, mais aussi les grands opérateurs dans plusieurs régions différentes. »

 

Conseils

F-Secure n’a reçu aucun rapport ni aucune preuve démontrant que ces attaques se sont produites en dehors de sa propre recherche. Les fabricants des appareils concernés par la recherche ont assisté aux concours Pwn2Own, et ont été invités à l’évènement par l’organisateur, ZDI, afin de recevoir des détails sur les vulnérabilités inhérentes à leurs appareils. Grâce à ce processus de divulgation contrôlée, Huawei, Xiaomi et Samsung ont corrigé les vulnérabilités découvertes par F-Secure lors de leurs recherches.

Tant que les utilisateurs mettent à jour leurs téléphones, ils seront à l’abri de ces attaques. Voici une liste d’informations et de conseils, pour quiconque souhaite en savoir plus.

Ils peuvent également consulter davantage de recherches publiées sur F-Secure Labs:

Huawei Mate 9 Pro

CVE-2018-7931, CVE-2018-7932, CVE-2017-15308, CVE-2017-15309, CVE-2017-15310

https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20171120-01-hwreader-en

https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20180423-01-app-en

 

Samsung Galaxy S9

CVE-2019-6741, CVE-2019-6742

https://security.samsungmobile.com/securityUpdate.smsb (SMR-JAN-2019/SVE-2018-13474)

https://www.zerodayinitiative.com/advisories/ZDI-19-255/

 

Xiaomi Mi 9

CVE-2020-9530, CVE-2020-9531

https://sec.xiaomi.com/post/180

 

 

Amon Francoise Koutoua

26.05.20 4 min de lecture

Article mis en avant

Publications connexes

Newsletter modal

Merci de votre intérêt pour F-Secure. Vous recevrez bientôt un email pour confirmer votre abonnement à la newsletter.

Gated Content modal

Félicitations – Vous pouvez maintenant accéder à votre contenu en cliquant sur le bouton ci-dessous.