{"id":8840,"date":"2017-06-02T08:26:01","date_gmt":"2017-06-02T08:26:01","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=8840"},"modified":"2017-06-22T19:37:00","modified_gmt":"2017-06-22T19:37:00","slug":"cloak-and-dagger-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cloak-and-dagger-attack\/8840\/","title":{"rendered":"Cloak and Dagger : une faille sur toutes les versions Android"},"content":{"rendered":"

Attention : ceci n\u2019est pas un exercice. Ceci s\u2019applique \u00e0 toutes les versions Android<\/strong>, et au moment o\u00f9 nous publions cet article, Google n\u2019a toujours pas corrig\u00e9 la vuln\u00e9rabilit\u00e9<\/strong>. Par le biais de cette vuln\u00e9rabilit\u00e9, il est possible de d\u00e9tourner des donn\u00e9es comprenant des mots de passe ; d\u2019installer des applications dot\u00e9es d\u2019un ensemble complet d\u2019autorisations ; et de surveiller ce qu\u2019un utilisateur fait et ce qu\u2019il tape sur un clavier de n\u2019importe quel smartphone, Android ou tablette. Attention : ceci n\u2019est pas un exercice\u2026<\/p>\n

\"Cloak<\/a><\/p>\n

L\u2019attaque surnomm\u00e9e \u00ab\u00a0Cloak and Dagger\u00a0\u00bb (s\u00fbrement en l\u2019honneur des h\u00e9ros de BD de Marvel) a \u00e9t\u00e9 d\u00e9couverte par des employ\u00e9s de l\u2019Institut de Technologie de G\u00e9orgie et de l\u2019Universit\u00e9 de Californie. Ils ont essay\u00e9 d\u2019attirer trois fois l\u2019attention de Google sur le probl\u00e8me, mais \u00e0 chaque fois Google r\u00e9pondait que tout fonctionnait normalement. Les chercheurs n\u2019ont pas eu d\u2019autre choix que de publier leurs d\u00e9couvertes\u00a0: ils ont m\u00eame cr\u00e9\u00e9 un site web sp\u00e9cial cloak-and-dagger.org pour se faire.<\/p>\n

L\u2019essence de l\u2019attaque Cloak and Dagger <\/strong><\/h2>\n

En r\u00e9sum\u00e9, l\u2019attaque consiste \u00e0 utiliser une application de Google Play\u00a0: tandis que l\u2019application ne demande aucune autorisation sp\u00e9cifique de l\u2019utilisateur, les hackers obtiennent les droits de montrer l\u2019interface de cette application au-dessus d\u2019autres applications et de s\u00e9lectionner des boutons \u00e0 l\u2019insu de l\u2019utilisateur de fa\u00e7on \u00e0 ce qu\u2019il ne s\u2019en rende pas compte.<\/p>\n

L\u2019attaque est possible du fait que l\u2019utilisateur n\u2019est pas explicitement invit\u00e9 \u00e0 autoriser les applications \u00e0 acc\u00e9der aux fonctions de SYSTEM_ALERT_WINDOW lors de l\u2019installation des applications sur Google Play, et l\u2019autorisation d\u2019acc\u00e9der \u00e0 ACCESSIBILITY_SERVICE (A11Y) est plut\u00f4t simple \u00e0 obtenir.<\/p>\n

De quels types d\u2019autorisations s\u2019agit-il\u00a0? La premi\u00e8re autorisation permet de montrer l\u2019interface d\u2019une application sur n\u2019importe quelle autre application, et la seconde donne acc\u00e8s \u00e0 un ensemble de fonctions pour les personnes atteintes d\u2019une d\u00e9ficience visuelle ou auditive. Une application dot\u00e9e d\u2019un acc\u00e8s au Service d\u2019Accessibilit\u00e9 est capable d\u2019effectuer beaucoup de choses diff\u00e9rentes voire dangereuses sur l\u2019appareil, dans la mesure o\u00f9 cette fonction permet \u00e0 une application de surveiller \u00e0 la fois ce qui se passe sur d\u2019autres applications et d\u2019interagir avec elles pour le compte de l\u2019utilisateur.<\/p>\n

Qu\u2019est-ce qui pourrait \u00e9ventuellement mal tourner\u00a0?<\/p>\n

Une couche invisible <\/strong><\/h3>\n

D\u2019une fa\u00e7on g\u00e9n\u00e9rale, l\u2019essence des attaques qui utilisent la premi\u00e8re autorisation, SYSTEM-ALERT_WINDOW, est la suivante\u00a0: cette autorisation, que Google Play donne effectivement par d\u00e9faut \u00e0 l\u2019insu de l\u2019utilisateur, permet \u00e0 une application de recouvrir n\u2019importe quelle autre. En outre, les fen\u00eatres qu\u2019elle peut afficher peuvent avoir une forme quelconque, y compris des formes avec des trous. De plus, elles peuvent soit taper sur l\u2019\u00e9cran ou les laisser passer afin que l\u2019application du dessous l\u2019enregistre.<\/p>\n

Par exemple, il est possible de cr\u00e9er une couche transparente qui recouvre le clavier virtuel d\u2019un appareil Android et de capturer toutes les tentatives de frappes sur l\u2019\u00e9cran. En mettant en corr\u00e9lation la position o\u00f9 l\u2019utilisateur a appuy\u00e9 sur l\u2019\u00e9cran et la position des touches sur le clavier, le hacker a la capacit\u00e9 de savoir ce que l\u2019utilisateur tape exactement sur ce clavier. Les programmes malveillants de ce type sont des enregistreurs de frappe<\/a>. Il s\u2019agit d\u2019un des exemples qui a \u00e9t\u00e9 pr\u00e9sent\u00e9 par les chercheurs pour d\u00e9montrer l\u2019attaque.<\/p>\n