decembre 2020 par Check Point
D’innombrables applications Android toujours vulnerables a un bug majeur, mettant en danger des centaines de millions d’utilisateurs. Beaucoup de applications sur le Play Store de Google paraissent bien vulnerables a votre bug connu, CVE-2020-8913, qui permet aux acteurs de la menace d’injecter du code malveillant dans des applications vulnerables, afin d’acceder a toutes les memes ressources de l’application d’hebergement. Mes acteurs une menace vont pouvoir utiliser les applications vulnerables pour usurper des donnees sensibles d’autres applications sur le aussi appareil, en volant les informations privees des utilisateurs, telles que des details de connexion, les mots de passe, les details financiers et le courrier.
• Notre faille de securite trouve son origine dans la bibliotheque Play Core de Google, tres utilisee, qui permet aux developpeurs d’integrer des mises a jour ainsi que nouveaux modules de fonctionnalites a leurs applications Android • Google a corrige ma faille en avril 2020, mais les developpeurs eux-memes doivent installer la nouvelle bibliotheque Play Core dans le but de faire disparaitre completement la menace • Les chercheurs de Check Point ont selectionne au hasard un certain nombre d’applications de premier plan pour confirmer l’existence une vulnerabilite CVE-2020-8913. Vulnerabilite confirmee dans Grindr, Bumble, OKCupid, Cisco Teams, Moovit, Yango Pro, Edge, Xrecorder, PowerDirector • Plusieurs chercheurs de Check Point demontrent l’exploitation d’une vulnerabilite de l’application Google Chrome d’Android
Vue d’ensemble : Une nouvelle vulnerabilite dans la bibliotheque Google Play Core a ete publiee fin aout, qui permet l’execution locale de code (Local-Code-Execution, LCE) dans le contexte de toute application qui utilise la version vulnerable en bibliotheque Google Play Core. Dans ce document, nous analysons l’impact et l’ampleur de cette vulnerabilite du avis d’une securite.
Contexte : Qu’est-ce que Notre bibliotheque Google Play Core ? Tire d’la documentation de developpement Android de Google :
J’ai bibliotheque Play Core Library est l’interface d’execution de votre application avec Google Play Store. Voici quelques-unes des actions que vous pourrez effectuer avec Google Play Core : • Telecharger des ressources linguistiques supplementaires • Gerer la fourniture de modules de fonctionnalites • Gerer J’ai fourniture de packs de ressources • Declencher des mises a jour au sein d’ l’application • Demander des avis depuis l’application
Ainsi, la bibliotheque Google Play Core reste une passerelle permettant d’interagir avec les services Google Play depuis l’application elle-meme, a commencer via le chargement de code dynamique (tel le telechargement de niveaux supplementaires en cas de besoin uniquement), la fourniture de ressources localisees bien precis et l’interaction au milieu des mecanismes d’avis de Google Play.
De multiples applications populaires utilisent une telle bibliotheque, principalement : • Google Chrome • Facebook • Instagram • WhatsApp • SnapChat • Booking • Edge
Facebook et Instagram constituent a eux seuls 5 milliards et 1 milliard de telechargements respectivement a votre jour depuis Google Play Store. Imaginez le nombre d’appareils qui ont ete touches par une telle vulnerabilite.
Qu’est-ce que CVE-2020-8913 ?
OverSecured a deja presente les aspects techniques de cette vulnerabilite. Pour une etude technique plus approfondie, veuillez vous referer a le blog. Un bref apercu : Dans la sandbox de chaque application, Il est 2 dossiers : un pour des fichiers « verifies » recus de Google Play, ainsi, un autre pour les fichiers « non verifies ». Les fichiers telecharges depuis les services Google Play vont au dossier verifie, tandis que les fichiers telecharges d’autres sources paraissent envoyes au dossier non verifie. Lorsqu’un fichier est ecrit dans le dossier verifie, il interagit avec la bibliotheque Google Play Core qui le charge et l’execute.
Une intention exportee reste une autre fonctionnalite qui permet a d’autres sources de pousser des fichiers dans la sandbox de l’application. Il existe cependant deux limitations : le fichier reste pousse au dossier non verifie, et il n’est pas directement traite par la bibliotheque. Notre vulnerabilite reside dans la combinaison des deux fonctionnalites mentionnees ci-dessus, et utilise egalement la traversee de fichiers, un concept aussi vieux qu’Internet lui-meme. Lorsqu’une source tierce pousse un fichier dans une autre application, elle doit fournir un chemin d’acces pour que le fichier puisse etre ecrit. Lorsqu’un pirate utilise la traversee de fichiers (../verified_splits/mon_code_malveillant.apk), le code malveillant reste ecrit dans le dossier verifie, ainsi, est directement charge au sein d’ l’application vulnerable et execute dans le contexte.
Google a corrige cette vulnerabilite le 6 avril 2020.
Impact et ampleur : Quand nous combinons des applications populaires qui utilisent la bibliotheque Play Core de Google et Notre vulnerabilite d’execution locale de code, nous pouvons bien voir les risques. Lorsqu’une application malveillante exploite votre vulnerabilite https://besthookupwebsites.org/fr/plus-de-50-rencontres/, elle est en mesure de executer du code dans des applications populaires et beneficier du meme acces que l’application vulnerable.
Les possibilites ne semblent limitees que via notre creativite. Voici deux exemples : • Injection de code dans des applications bancaires Afin de s’emparer des identifiants, et en meme moment beneficier des autorisations sur les SMS pour voler nos codes d’authentification a deux facteurs (2FA). • Injection de code dans des applications d’entreprise pour acceder aux ressources de l’entreprise. • Injection de code dans des applications de reseaux sociaux pour espionner la victime, ainsi, utiliser l’acces a la geolocalisation pour suivre l’appareil. • Injection de code dans des applications de messagerie instantanee Afin de capturer tous les messages, ainsi, eventuellement envoyer des messages au nom de la victime.
Comme la vulnerabilite a ete corrigee en avril, pourquoi s’inquieter maintenant ? Notre reponse est que les developpeurs doivent pousser le correctif dans leurs applications. Contrairement a toutes les vulnerabilites cote serveur, qui peuvent etre entierement corrigees une fois que le correctif reste applique concernant le serveur, Afin de nos vulnerabilites cote client, chaque developpeur devra utiliser la derniere version d’une bibliotheque et l’inserer dans le application.
Le facteur humain etant l’un des plus difficiles a surmonter en matiere de securite, nous avons decide de determiner quelles applications ont corrige la vulnerabilite et lesquelles paraissent bien vulnerables, afin d’avoir une meilleure comprehension globale de l’ampleur une vulnerabilite. Depuis la publication de votre vulnerabilite, nous avons commence a surveiller les applications vulnerables.
I l’occasion du mois de septembre 2020, 13 % des applications Google Play analysees par SandBlast Mobile utilisaient votre bibliotheque, ainsi, 8 % de ces applications comprenaient une version vulnerable.
Nous avons egalement compare des versions de septembre a toutes les versions actuelles sur Google Play afin de voir quelles applications etaient bien concernees. A notre grande surprise, nous avons decouvert une grande variete d’applications : • Social – Viber • Voyage – Booking • Entreprises – Cisco Teams • Cartes et navigation – Yango Pro (Taximetre), Moovit • Rencontres – Grindr, OKCupid, Bumble • Navigateurs – Edge • Utilitaires – Xrecorder, PowerDirector