Une seconde vulnérabilité exploitable pour modifier les applications Android sans casser leurs signatures. Les détails techniques de cette faille ont été publiés par un chercheur en sécurité sur un blog chinois. La vulnérabilité est différente de celle connue sous le nom « masterkey », annoncée la semaine dernière par des chercheurs de la firme Bluebox Security, mais toutes les deux permettent aux pirates d'injecter du code malveillant dans des packages d'applications Android (APK) sans casser leurs signatures. Jeff Forristal, directeur technique chez Bluebox Security a indiqué que le processus décrit sur le blog chinois était crédible et avait le même impact que la faille « Masterkey ».

Android enregistre la signature numérique d'une application lors de sa première installation et lui crée une sandbox. Toutes les prochaines mises à jour de cette application doivent être signées avec chiffrement par le même auteur pour garantir la validité des signatures. Si les pirates sont capables de modifier les applications avec une signature légitime, ils peuvent accéder aux données sensibles des utilisateurs.

Quelques limites techniques

Sur la deuxième faille, Oliva Fora, ingénieur spécialiste de la sécurité mobile chez ViaForensics, explique, « c'est une approche différente pour atteindre le même objectif que le précédent exploit ». Plus tôt cette semaine, il avait créé un POC (proof of concept) pour endiguer la faille découverte par Bluebox. Depuis, Google a présenté un patch pour corriger ces risques.

Oliva Fora n'a par contre pas encore eu le temps de faire de même pour la dernière vulnérabilité. Mais il en a analysé les détails techniques. La nouvelle faille donne aux pirates le moyen d'injecter du code dans des fichiers particuliers, notamment dans les en-têtes des APK. Cette méthode permet de contourner le processus de vérification des signatures, explique l'ingénieur. Les fichiers qui peuvent être modifiés sont appelés classes.dex. Par contre pour que l'attaque fonctionne, la taille des fichiers ciblés ne doit pas excéder 64 Ko, ce qui limite un peu la menace. Oliva précise aussi que cette modification des APK est facile à détecter, mais que la méthode pour y arriver est différente que celle utilisée pour l'exploit précédent.