Sécurité des smartphones, le pire reste à venir

La sécurité des Androids

F-Secure, ESET, Kaspersky, TrendMicro, Symantec… Tous prédisent une année orageuse à Android ! Le succès fulgurant de cette plateforme mobile attire bien évidemment les convoitises des cybercriminels. D’autant que le cœur de la plateforme est bien connu : un noyau Linux. Il y a quelques semaines, la société Coverity a mis en évidence plus de 300 vulnérabilités dans le code source d’Android. Toutes ne sont probablement pas exploitables mais certaines d’entre elles permettraient d’exécuter du code ou de pervertir les pilotes. En outre, le système s’appuie lourdement sur des librairies Linux aux vulnérabilités bien maîtrisées des cybercriminels comme LibTIFF et FreeType.  Sans compter que la plateforme est essentiellement basée sur Java, le lecteur PDF d’Adobe et bien sûr Flash, trois technologies qui ont été les cibles privilégiées des malwares PC durant toute l’année 2010 !

Trojan-SMS.AndroidOS.FakePlayer : premier malware Android

Le premier véritable Malware Android (qui envoyait des SMS surtaxés à l’insu de l’utilisateur) a été détecté en août 2010. Connu sous le patronyme de « Trojan-SMS.AndroidOS.FakePlayer », il fut distribué par l'intermédiaire de sites Web malveillants et non par le Marché Android officiel. Les internautes étaient invités à télécharger un nouveau lecteur multimédia pour regarder des films « coquins ». En quelques semaines, ce faux lecteur vidéo a connu trois variantes.En août toujours, une application dénommée GPS-Spy permettait de savoir où étaient n’importe quel téléphone de son entourage pour peu qu’on ait convaincu son utilisateur de télécharger une variante du jeu Snake dénommée Tap Snake.

JBSSpy et Tap Snake ont depuis été supprimés du MarketPlace par Google.Quelques semaines plus tard, près d’un million de téléphones chinois auraient été infectés par un « faux antivirus » pour mobile, mais le nombre d’infection n’a jamais pu être vérifié.
En Novembre dernier, le chercheur Jon Oberheide a publié sur le magasin Android une application dénommée « Angry Birds Bonus Level ». Il s’agissait en  réalité d’une expérience technique cherchant à démontrer que n’importe qui pouvait publier des applications sur le Marketplace capables elles-mêmes de télécharger d’autres applications (qui auraient pu être malveillantes).

Ces derniers temps, les éditeurs de produits de sécurité ont vu circuler des malwares exploitant les failles du navigateur Web (sur les versions 2.0 et 2.1 d’Android) , une variante de la faille « udev » permettant l’élévation de privilèges (autrement dit l’accès en mode administrateur, faille corrigée dans Android 2.2), ou différentes techniques de contournement des protections du système (comme Lockpicker qui déconnecte les sécurités Exchange). Cette activité de recherche et d’exploitation des vulnérabilités, plus intense sur Android que sous n’importe quel autre système mobile, explique en grande partie les prédictions pessimistes des éditeurs de sécurité.

Fonctions sensibles

Un autre point inquiète désormais les observateurs de la mobilité : « Quand on installe une application depuis l’Android Marketplace, le téléphone informe l’utilisateur des fonctions ‘sensibles’ requises par l’application. Les utilisateurs devraient lire attentivement cette information et systématiquement refuser les logiciels qui demandent des autorisations inutiles. Il n’est pas logique qu’un lecteur multimédia ait besoin d’envoyer des SMS par exemple » explique Denis Maslennikov (Kaspersky). « Le problème, c’est que la plupart des utilisateurs n’ont aucune envie de décrypter cette notification ». De l’aveu même de Google, 20% des applications du MarketPlace exigent des autorisations qui, en théorie, ne devraient pas être requises. D’autres sources, estiment qu’en réalité ce sont 40% des applications du Marketplace réclament sans raison apparente des droits d’accès aux SMS, aux contacts ou à la position géographique de l’utilisateur !

Face à ces risques, Google peut automatiquement réaliser une suppression à distance d’une application MarketPlace qui se serait révélée dangereuse… Une fonction que Google a d’ailleurs déjà exploité cette année pour éliminer certaines menaces. On peut néanmoins craindre que les cybercriminels finissent par découvrir un moyen d’intercepter cet ordre d’effacement et intègrent, dans leur code malveillant, des routines empêchant une telle désinstallation à distance !