Microsoft a mis en évidence une nouvelle attaque baptisée « Dirty Stream », qui pourrait permettre à des applications Android malveillantes d’écraser des fichiers dans le répertoire personnel d’une autre application, entraînant potentiellement l’exécution de code arbitraire et le vol de secrets.

La faille provient de l’utilisation inappropriée du système de fournisseur de contenu d’Android, qui gère l’accès à des ensembles de données structurés destinés à être partagés entre différentes applications.

Ce système intègre l’isolation des données, les autorisations d’URI et des mesures de sécurité de validation de chemin pour empêcher les accès non autorisés, les fuites de données et les attaques de traversée de chemin.

Lorsqu’elles sont mal implémentées, les intentions personnalisées, qui sont des objets de messagerie qui facilitent la communication entre les composants des applications Android, peuvent contourner ces mesures de sécurité.

Des exemples d’implémentations incorrectes incluent l’approbation de noms de fichiers et de chemins non validés dans les intentions, une mauvaise utilisation du composant ‘FileProvider’ et une validation de chemin inadéquate.

Dirty Stream permet aux applications malveillantes d’envoyer un fichier avec un nom de fichier ou un chemin manipulé à une autre application en utilisant une intention personnalisée. L’application cible est induite en erreur en faisant confiance au nom de fichier ou au chemin et exécute ou stocke le fichier dans un répertoire critique.

Aperçu du Dirty Stream

Cette manipulation du flux de données entre deux applications Android transforme une fonction commune au niveau du système d’exploitation en un outil armé et peut entraîner l’exécution de code non autorisée, le vol de données ou d’autres résultats malveillants.

Divers scénarios d’attaque utilisant un  Dirty Stream

Dimitrios Valsamaras, chercheur chez Microsoft, a noté que ces implémentations incorrectes sont malheureusement abondantes, impactant les applications installées plus de quatre milliards de fois et offrant une surface d’attaque massive.

« Nous avons identifié plusieurs applications vulnérables dans le Google Play Store qui représentaient plus de quatre milliards d’installations », lit-on dans le rapport.

« Nous prévoyons que le modèle de vulnérabilité pourrait être trouvé dans d’autres applications. Nous partageons cette recherche afin que les développeurs et les éditeurs puissent rechercher des problèmes similaires dans leurs applications, les corriger le cas échéant et éviter d’introduire de telles vulnérabilités dans de nouvelles applications ou versions. »

Deux applications mises en évidence comme vulnérables aux attaques de flux sales dans le rapport de Microsoft sont l’application Gestionnaire de fichiers de Xiaomi, qui compte plus d’un milliard d’installations, et WPS Office, qui compte environ 500 millions d’installations.

Les deux sociétés ont réagi aux résultats et ont collaboré avec Microsoft pour déployer des correctifs afin d’atténuer les risques posés par la vulnérabilité.

Les conclusions de Microsoft ont été partagées avec la communauté des développeurs Android via un article sur le site Web des développeurs Android afin d’éviter des vulnérabilités similaires dans les futures versions.

Google a également mis à jour ses conseils sur la sécurité des applications pour mettre en évidence les erreurs d’implémentation courantes dans le système du fournisseur de contenu qui permettent des contournements de sécurité.

En ce qui concerne les utilisateurs finaux, ils ne peuvent pas faire grand-chose à part maintenir à jour les applications qu’ils utilisent et éviter de télécharger des APK à partir de magasins d’applications tiers non officiels et d’autres sources mal vérifiées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *