Une application d’impression Android Kyocera est vulnérable à une mauvaise gestion des intentions, ce qui permet à d’autres applications malveillantes d’exploiter la faille pour télécharger et potentiellement installer des logiciels malveillants sur les appareils.
Selon un avis de sécurité de JVN (Japanese Vulnerability Notes), un portail soutenu par l’État dédié à la sensibilisation aux questions de sécurité, le problème, la faille est suivi comme CVE-2023-25954 et affecte les applications suivantes :
- KYOCERA Mobile Print v3.2.0.230119 et versions antérieures (1 million de téléchargements sur Google Play)
- UTAX/TA Mobile Print v3.2.0.230119 et versions antérieures (100 000 téléchargements sur Google Play)
- Olivetti Mobile Print v3.2.0.230119 et versions antérieures (10 000 téléchargements sur Google Play)
Bien que les applications répertorient différents éditeurs, elles sont basées sur le même code ; ainsi, la vulnérabilité a un impact sur les trois.
KYOCERA a publié hier un bulletin de sécurité sur la question, exhortant les utilisateurs de son application d’impression à passer à la version 3.2.0.230227, actuellement disponible via Google Play.
« La classe d’application de KYOCERA Mobile Print permet la transmission de données à partir d’applications mobiles tierces malveillantes, ce qui pourrait entraîner le téléchargement de fichiers malveillants », lit-on dans l’avis du fournisseur.
« Et, en utilisant la fonctionnalité de navigateur Web KYOCERA Mobile Print, il est possible d’accéder à des sites malveillants et de télécharger et d’exécuter des fichiers malveillants, ce qui peut conduire à l’acquisition d’informations internes sur des appareils mobiles. »
Pour qu’une telle attaque se produise, l’utilisateur doit également installer une deuxième application malveillante sur son appareil qui déclenchera le téléchargement de la charge utile.
Malgré cette exigence atténuant la gravité de la faille, il serait facile de distribuer une application malveillante qui tire parti du problème, car elle n’aurait pas à inclure de code à risque, à demander l’approbation des autorisations à risque lors de l’installation, etc.
Au lieu de cela, il lui suffirait de vérifier la présence de ces applications vulnérables et d’en abuser pour installer des logiciels malveillants.
Android 14 pour réduire le risque
La prochaine version d’Android 14 est sur le point de gérer les intentions de manière plus sécurisée, atténuant les risques associés et rendant plus difficile la dissimulation de la véritable nature des échanges de données « sous le capot ».
À partir d’Android 14, l’échange d’intentions entre les applications sera restreint, nécessitant la définition de destinataires spécifiques par l’expéditeur, la déclaration des informations qu’une application doit recevoir d’autres applications et si les récepteurs doivent ou non être limités aux diffusions système. .
Cette amélioration de la sécurité protégerait les applications privilégiées telles que les utilitaires d’impression des intentions malveillantes envoyées par d’autres applications exécutées sur le même appareil.