211service.com
L'exploitation du navigateur pour Android met en évidence le problème de mise à jour de Google
Un chercheur en sécurité a découvert un moyen de prendre en charge environ 70 % des appareils Android via une page Web ou une application. On ne sait pas si quelqu'un utilise réellement l'exploit pour attaquer les téléphones des gens, mais les découvertes du chercheur rappellent néanmoins que Google fait face à un mal de tête croissant car il n'a aucun moyen de distribuer efficacement les mises à jour de sécurité aux centaines de millions d'appareils exécutant son logiciel dans le monde. Beaucoup de ces appareils ont des versions obsolètes d'Android.
Le nouvel exploit a été développé par Joe Vennix, un ingénieur logiciel de la société de sécurité Rapide7 , qui la semaine dernière ajouté l'exploit à la société métasploit logiciel utilisé pour tester les appareils et les systèmes à la recherche de vulnérabilités connues. Son code utilise un bogue, révélé pour la première fois dans Décembre 2012 , dans le navigateur Web intégré à Android. L'exploit pourrait être utilisé pour prendre le contrôle d'un téléphone après avoir dirigé quelqu'un vers une page Web avec le code malveillant intégré, ou en fournissant le code via une application, dont beaucoup affichent du contenu tel que des publicités utilisant les capacités du navigateur d'Android. Vennix a trouvé que une application Baidu , par exemple, était vulnérable à l'exploit lorsqu'il était installé sur un appareil utilisant la version d'Android publiée en décembre 2013. Un autre chercheur a découvert que l'exploit fonctionne sur Google Glass .
Vennix estime que 70 pour cent des appareils Android sont vulnérables à l'exploit, basé sur Les chiffres de Google pour la proportion d'appareils exécutant différentes versions d'Android. Et surtout, bien que Google ait publié une nouvelle version d'Android avec un correctif pour le bogue sous-jacent en novembre 2012, la plupart des appareils exécutant le logiciel resteront probablement vulnérables à l'attaque aussi longtemps qu'ils resteront utilisés car ils ne seront pas mis à jour.
Google a convaincu de nombreux fabricants d'installer Android sur leurs produits, mais peu sont prompts à déployer de nouvelles versions du logiciel. Google n'a pas non plus de mécanisme pour envoyer les mises à jour directement sur les appareils, tels que ceux intégrés aux systèmes d'exploitation de bureau, y compris Microsoft Windows ou Mac OS.
Cela limite la capacité de Google à déployer de nouvelles fonctionnalités et correctifs de sécurité sur les appareils exécutant son logiciel. L'entreprise a eu peu de succès à résoudre le problème jusqu'à présent. En mai 2011, par exemple, Google a annoncé l'Android Upgrade Alliance, en vertu de laquelle les opérateurs de téléphonie mobile déploieraient rapidement les mises à jour Android pendant les 18 premiers mois de la vie d'un appareil. Mais le projet a sombré et n'est plus actif. Google n'a pas répondu à une demande de commentaire.
Plus récemment, Google a cherché à contourner les opérateurs en déplaçant certaines fonctions d'Android dans des applications distinctes, qui peuvent être mises à jour par les utilisateurs via la boutique d'applications Play de l'entreprise. YouTube, Gmail et Google Search, par exemple, étaient autrefois intégrés au logiciel Android, mais sont désormais des applications distinctes ; Google peut envoyer des mises à jour de fonctionnalités et des correctifs de sécurité à ces applications sans avoir à travailler avec une autre entreprise. Dans les versions les plus récentes d'Android, le code de navigateur intégré est caché aux utilisateurs qui utilisent à la place une version d'application mobile du navigateur de bureau Chrome de Google.
Cependant, cette approche ne couvre pas le cœur du logiciel Android et ne peut pas corriger le bogue découvert par Rapid7. Dirk Sigurdson, directeur de l'ingénierie du produit de Rapid7 pour protéger les appareils mobiles, Mobilesafe, déclare que les appareils achetés auprès d'entreprises autres que Google ne peuvent pas être considérés comme sécurisés. Le meilleur pari pour le moment est d'acheter des appareils Google Nexus ou Google Play, qui sont mis à jour beaucoup plus rapidement avec les dernières versions d'Android, dit-il.
Plus d'un milliard d'appareils Android ont été activés depuis le lancement du logiciel en octobre 2008, selon Google . Les appareils Android sont à peine en proie aux logiciels malveillants dans la mesure où les PC le sont, et l'utilisation des magasins d'applications permet de limiter la propagation du code malveillant. Malgré cela, l'incidence des logiciels malveillants augmente et devrait s'aggraver de manière significative (voir Les attaques contre Android s'intensifient et les nouveaux modèles commerciaux pour les logiciels malveillants apportent des problèmes de sécurité PC aux mobiles ).
Après que le système d'exploitation Windows de Microsoft a été victime d'un large éventail de logiciels malveillants, la société a mis en place un système dans lequel les mises à jour de sécurité étaient continuellement développées et déployées sur les PC. Apple utilise un modèle similaire pour maintenir ses appareils mobiles à jour. En septembre, par exemple, une semaine seulement après la découverte d'un bogue qui a permis à quelqu'un de contourner l'écran de verrouillage d'un iPhone , l'entreprise déployé un correctif .
Cette approche pourrait également aider Android, explique le consultant en sécurité Graham Cluley, mais il est peu probable qu'elle soit attrayante pour Google en raison de la façon dont elle offre gratuitement Android et permet aux fabricants d'appareils et aux opérateurs de téléphonie mobile de modifier le logiciel. Le problème fondamental, je suppose, est qu'ils ne contrôlent pas le matériel et les logiciels, dit-il. Même si tous ces appareils fonctionnent sous Android, ils exécutent différentes versions modifiées avec différentes interfaces utilisateur et modules complémentaires.
L'une des raisons pour lesquelles les entreprises ne transmettent pas les mises à jour de Google à Android aujourd'hui est qu'il faut du travail pour s'assurer que ces réglages fonctionnent toujours correctement sur une nouvelle version. Les mises à jour automatiques pourraient casser les propres modifications Android d'une entreprise, explique Cluley.