Android : quand un simple SMS pouvait provoquer une attaque DoS !

Le patch mensuel de Décembre colmate bon nombre de failles : une particulièrement, affectant les versions 8 à 10 incluses du système mobile de Google et qui provoquerait un déni de service (DoS)... depuis l'envoi d'un simple SMS !

 

Assignée CVE-2019-2232, la vulnérabilité n'aurait besoin d'aucun accès (privilège) pour être exploitée : un message "spécialement conçu" suffirait. Les versions 8.0, 8.1, 9 mais, aussi, 10 seraient concernées par cette faille.

 

En parallèle, début de ce mois, l'équipe sécuritaire Promon mettait en lumière StrandHogg, une faille qui permettait de véroler le menu multi-tâche d'Android par le truchement d'applications "déguisées". Pour parfaire la manœuvre, le malware pouvait lancer plusieurs "activités" (code) simultanément pour brouiller les pistes (d'où le nom "StrandHogg" : une référence à une stratégie Viking - reprise par d'autres stratèges militaires - qui consiste à attaquer en deux temps via l'espionnage et l'attaque-éclair).

 

Le point de départ était une application pseudo-légitime (vérolée, en réalité) : une fois la ou les permissions accordées par l'utilisateur, à distance, des informations sensibles étaient exfiltrées (photos, mails, sms, géolocalisation, écoute téléphonique...) depuis une page de connexion (fausse) accessible depuis le lancement de l'application compromise. Sur le fameux top-100 des applications du Play Store potentiellement vulnérables, seules, selon Lokout, 36 applications auraient été identifiées en tant que telles. Elles ont été retirées, depuis, par Google (listing non connu). La faille était connu depuis l'été dernier par Google (embargo) mais il faut savoir qu'elle n'est pas nouvelle : en effet, en 2017, elle prenait les traits de BankBot, un malware qui reposait techniquement sur le même principes mais était axés, comme l'indique son nom, sur l'aspiration de données bancaires.

Comme à l'accoutumé, le meilleur moyen de se prémunir de ces menaces et d'avoir un système mobile à jour, en installant les dernières mises à jour depuis le store et le système Android (tâche, normalement, automatisée)... A veiller !

 

Source : Android - 2 Décembre 2019 (màj du 13 Décembre 2019) - Patch Décembre 2019.