{"id":42586,"date":"2017-09-19T11:40:40","date_gmt":"2017-09-19T18:40:40","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=42586"},"modified":"2017-09-19T11:40:40","modified_gmt":"2017-09-19T18:40:40","slug":"unit42-description-de-la-menace-appliquez-un-correctif-des-aujourdhui-et-ne-vous-brulez-pas-les-doigts-avec-une-superposition-toast-android","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2017\/09\/unit42-description-de-la-menace-appliquez-un-correctif-des-aujourdhui-et-ne-vous-brulez-pas-les-doigts-avec-une-superposition-toast-android\/?lang=fr","title":{"rendered":"Description de la menace\u00a0: Appliquez un correctif d\u00e8s aujourd'hui et ne vous br\u00fblez pas les doigts avec une superposition Toast Android"},"content":{"rendered":"

Aujourd'hui, les chercheurs\u00a0 de l'Unit\u00a042 de Palo\u00a0Alto\u00a0Networks livrent des d\u00e9tails<\/a> \u00e0 propos d'une nouvelle vuln\u00e9rabilit\u00e9 de gravit\u00e9 \u00e9lev\u00e9e mena\u00e7ant la plateforme Google\u00a0Android. Des correctifs pour contrer cette vuln\u00e9rabilit\u00e9 sont disponibles dans le cadre du bulletin de s\u00e9curit\u00e9 Android de septembre 2017<\/a>. Cette nouvelle vuln\u00e9rabilit\u00e9 n'affecte PAS la toute derni\u00e8re version d'Android, Android\u00a08.0 Oreo<\/a>, mais toutes les versions ant\u00e9rieures. Il s'agit d'un logiciel malveillant qui exploite certains vecteurs d\u00e9crits dans cet article. Pour l'heure, l'Unit\u00a042 de Palo\u00a0Alto\u00a0Networks n'a pas connaissance de mesures actives prises \u00e0 l'encontre de cette vuln\u00e9rabilit\u00e9. \u00c9tant donn\u00e9 qu'Android\u00a08.0 est une version relativement r\u00e9cente, il convient que quasiment tous les utilisateurs Android agissent d\u00e8s aujourd'hui en appliquant les mises \u00e0 jour disponibles pour contrer cette vuln\u00e9rabilit\u00e9.<\/p>\n

Ce qu'ont d\u00e9couvert nos chercheurs, c'est une vuln\u00e9rabilit\u00e9 qui peut servir \u00e0 d\u00e9ployer plus facilement une \u00ab\u00a0overlay attack\u00a0\u00bb (une attaque par superposition), un type de menace d\u00e9j\u00e0 familier de la plateforme Android. Ce type d'attaque peut servir \u00e0 introduire un logiciel malveillant sur l'appareil Android de l'utilisateur. Il peut \u00e9galement \u00eatre utilis\u00e9 pour donner au logiciel malveillant le contr\u00f4le total de l'appareil. Dans le pire des cas, cette vuln\u00e9rabilit\u00e9 pourrait rendre le t\u00e9l\u00e9phone inutilisable (ou \u00ab\u00a0briqu\u00e9\u00a0\u00bb) ou pourrait servir \u00e0 installer n'importe quel type de logiciel malveillant dont, entre autres, les ransomware ou les programmes voleurs d'informations. Autrement dit, cette vuln\u00e9rabilit\u00e9 pourrait \u00eatre utilis\u00e9e pour prendre le contr\u00f4le d'appareils, les verrouiller et voler des informations apr\u00e8s l'attaque.<\/p>\n

Une \u00ab\u00a0attaque par superposition\u00a0\u00bb est une attaque dans laquelle une application affiche une fen\u00eatre par-dessus d'autres fen\u00eatres et applications ex\u00e9cut\u00e9es sur l'appareil. Si l'op\u00e9ration aboutit, un pirate est en mesure de faire croire \u00e0 l'utilisateur qu'il clique sur une fen\u00eatre, alors qu'en r\u00e9alit\u00e9, il clique sur une autre. \u00c0 la Figure 1, vous pouvez voir un exemple dans lequel un pirate fait croire \u00e0 l'utilisateur qu'il installe un correctif, alors qu'en fait, l'utilisateur clique pour accorder tous les droits d'administration \u00e0 Porn Droid sur l'appareil.<\/p>\n

 <\/p>\n

\"AndroidToast_7\"<\/span><\/div><\/p>\n

Figure 1\u00a0: Programme fant\u00f4me d'installation d'un correctif demandant les droits d'administration<\/p>\n

Vous pouvez voir comment cette attaque peut servir \u00e0 convaincre les utilisateurs d'installer \u00e0 leur insu des logiciels malveillants sur leur appareil. Elle peut \u00e9galement servir \u00e0 accorder tous les droits d'administration de l'appareil au logiciel malveillant.<\/p>\n

Une attaque par superposition peut \u00e9galement \u00eatre utilis\u00e9e pour cr\u00e9er un d\u00e9ni de service sur l'appareil en faisant appara\u00eetre des fen\u00eatres qui restent \u00e0 l'\u00e9cran. C'est pr\u00e9cis\u00e9ment le type d'approche qu'utilisent les pirates pour mener les attaques de ransomware sur les appareils mobiles.<\/p>\n

Il va sans dire qu'une attaque par superposition peut, en une seule offensive, accomplir les trois forfaits suivants\u00a0:<\/p>\n

    \n
  1. Tromper un utilisateur en installant un logiciel malveillant sur son appareil.<\/li>\n
  2. Tromper un utilisateur en accordant au logiciel malveillant tous les droits administratifs sur l'appareil.<\/li>\n
  3. Utiliser l'attaque par superposition pour verrouiller l'appareil et le garder en otage contre ran\u00e7on.<\/li>\n<\/ol>\n

    Les attaques par superposition ne datent pas d'hier. Elles ont d\u00e9j\u00e0 fait parler d'elles. Mais, jusqu'\u00e0 maintenant, sur la base des derni\u00e8res recherches compil\u00e9es dans le document de l'IEEE sur la s\u00e9curit\u00e9 et la confidentialit\u00e9<\/a>, tout le monde pensait que les\u00a0applications malveillantes qui tentaient de mener des attaques par superposition devaient, pour r\u00e9ussir, contourner deux obstacles de taille\u00a0:<\/p>\n

      \n
    1. Elles doivent explicitement demander \u00e0 l'utilisateur le droit de se superposer lorsqu'elles sont install\u00e9es.<\/li>\n
    2. Elles doivent \u00eatre install\u00e9es \u00e0 partir de Google\u00a0Play.<\/li>\n<\/ol>\n

      Il s'agit l\u00e0 de facteurs notoires de limitation des risques. C'est pourquoi les attaques par superposition n'ont pas \u00e9t\u00e9 consid\u00e9r\u00e9es comme une grave menace.<\/p>\n

      Cependant, la nouvelle recherche de l'Unit\u00a042 montre qu'il est possible de perp\u00e9trer des attaques par superposition lorsque ces facteurs de r\u00e9duction des risques ne s'appliquent pas. Si une application malveillante utilise cette nouvelle vuln\u00e9rabilit\u00e9, elle peut, selon nos chercheurs, mener une attaque par superposition en \u00e9tant simplement install\u00e9e sur l'appareil. Cela veut dire, en substance, que les applications malveillantes provenant de sites Web et d'app stores autres que Google\u00a0Play peuvent perp\u00e9trer des attaques par superposition. Il est important de noter que les applications provenant de sites Web et d'app stores autres que Google\u00a0Play repr\u00e9sentent une source non n\u00e9gligeable de logiciels malveillants pour Android \u00e0 l'\u00e9chelle mondiale.<\/p>\n

      La vuln\u00e9rabilit\u00e9 en question affecte une fonction Android connue sous le nom de \u00ab\u00a0Toast<\/a>\u00a0\u00bb. Il s'agit d'un type de fen\u00eatre de notification qui appara\u00eet \u00e0 l'\u00e9cran (tel un toast). Le \u00ab\u00a0toast\u00a0\u00bb est g\u00e9n\u00e9ralement utilis\u00e9 pour afficher des messages et des notifications par-dessus d'autres applications.<\/p>\n

      Contrairement aux autres types de fen\u00eatre dans Android, le Toast ne requiert pas les m\u00eames autorisations. Aussi les facteurs de limitation des risques valables pour les attaques par superposition pr\u00e9c\u00e9dentes ne s'appliquent-ils pas ici. En outre, nos chercheurs ont expliqu\u00e9 dans quelle mesure il est possible de cr\u00e9er une fen\u00eatre Toast se superposant \u00e0 l'ensemble de l'\u00e9cran de mani\u00e8re \u00e0 l'utiliser pour cr\u00e9er l'\u00e9quivalent fonctionnel des fen\u00eatres d'application normales.<\/p>\n

      \u00c0 la lumi\u00e8re de ces derniers travaux, le risque que repr\u00e9sentent les attaques par superposition prend de l'ampleur. Par chance, la toute derni\u00e8re version d'Android est immunis\u00e9e face \u00e0 ces attaques imm\u00e9diates (\u00ab\u00a0out of the box\u00a0\u00bb). Cependant, la plupart des utilisateurs d'Android ex\u00e9cutent des versions vuln\u00e9rables. Cela signifie qu'il est indispensable que tous les utilisateurs des versions d'Android ant\u00e9rieures \u00e0\u00a08.0 mettent \u00e0 jour leurs appareils. Vous pouvez vous renseigner sur la disponibilit\u00e9 d'un correctif et d'une mise \u00e0 jour aupr\u00e8s de votre op\u00e9rateur mobile ou du constructeur de l'appareil.<\/p>\n

      L\u00e0 encore, une des meilleures protections contre les applications malveillantes consiste \u00e0 obtenir vos applications Android exclusivement aupr\u00e8s de Google\u00a0Play, car l'\u00e9quipe de s\u00e9curit\u00e9 Android scrute l'apparition d'applications malveillantes et les supprime du store en premier lieu.<\/p>\n","protected":false},"excerpt":{"rendered":"

      Description de la menace\u00a0: Appliquez un correctif d\u00e8s aujourd'hui et ne vous br\u00fblez pas les doigts avec une superposition Toast Android .<\/p>\n","protected":false},"author":287,"featured_media":35278,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3546],"tags":[172,4399,4312,4402,221],"coauthors":[3069],"class_list":["post-42586","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classifiee","tag-android","tag-attaque-par-superposition-de-toast","tag-cloak-and-dagger","tag-logiciel-malveillant","tag-ransomware"],"jetpack_featured_media_url":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2017\/03\/Linkedin.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/42586","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/287"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=42586"}],"version-history":[{"count":1,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/42586\/revisions"}],"predecessor-version":[{"id":42595,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/42586\/revisions\/42595"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/35278"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=42586"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=42586"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=42586"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=42586"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}