Actualités

Galaxy S20 : quand le smartphone de Samsung est impacté par une vulnérabilité exploitée depuis le Galaxy Store !

Même les derniers fleurons du fabricant Samsung ne sont pas immunisés contre les cyber-menaces sécuritaires : l’équipe F-Secure vient de détailler, en date du 23 Octobre 2020, une vulnérabilité prenant son sein depuis une version vulnérable du magasin en ligne – le Galaxy Store – et qui pouvait compromettre la gamme de smartphones Galaxy S20 !…

 

 

Comme précisé en préambule dans le billet dédié – par Ken Gannon – cette vulnérabilité aurait dû être dévoilé lors de l’édition 2020 du Pwn2Own dont les sessions (virtuelles, COVID-19 et sécurité sanitaire obligent) permettant de remporter l’un des prix (financiers), entre le 5 et 8 Novembre prochain ; pas de salon sécuritaire – du 5 au 20 Novembre, plus largement et, originellement, à Tokyo – donc, mais la vulnérabilité a été, pour la gloire et sa découverte, détaillée.

Le nœud du problème réside dans Android system WebView, un composant pré-installé permettant d’afficher du contenu dans les applications mobiles. Quand on y regarde de plus près, certaines fonctionnalités (en JavaScript) permettent d’installer (downloadApp) ou encore d’initialiser (openApp) des applications. Les chercheurs se sont concentrés sur “com.sec.android.app.samsungapps.slotpage.EditorialActivity” en chargeant l’élément depuis un lien cliquable (navigateur) ou depuis un tag NFC. Les observations en découlant ont permis de retracer le modus operandi technique de la fonction qui vérifie si l’URL-source est valide : si tel est le cas, alors, le code JavaScript (EditorialScriptInterface) se charge – depuis img.samsungapps.com en HTTP ou HTTPS, en tant qu’URL – et effectue l’installation le chargement de l’application mobile.

L’interception de cette fonction a ainsi été démontrée via une attaque de type MitM (Man-in-the-Middle) avec le modus operandi ou les pré-requis suivants :

 

  • Connexion du terminal mobile ciblé à un réseau Wi-Fi (privé ou public),
  • Tag NFC avec, conjointement, l’initialisation du Galaxy Store,
  • Lancement automatique de “EditorialActivity” + “EditorialScriptInterface“,
  • Chargement de WebView vers URL http://img.samsungapps.com/yaypayloadyay.html,
  • Interception par le cyber-attaquant du traffic HTTP : injection de code JavaScript (réponse-serveur),
  • Installation d’un programme malicieux pré-chargé par le cyber-attaquant depuis le magasin en ligne,
  • Lancement du programme malicieux ainsi installé.

Depuis, le fabricant a colmaté la faille en fournissant une mise à jour du Galaxy Store qui s’estampille en version 4.5.20.7. Pointe ironique, les chercheurs soulignent que si mise à jour il y a, encore faut-il que les utilisateur lancent “au moins une fois” l’application mobile pour que la mise à jour soit effective : “si un utilisateur exécute toujours une version vulnérable de l’application Galaxy Store et n’est jamais invité à mettre à jour son application, cette attaque est toujours exploitable contre cet utilisateur spécifique. En effet, le lancement de l’activité «EditorialActivity» ignore toutes les vérifications de mise à jour que l’application Galaxy Store doit être exécutée au démarrage“… A veiller !

 

 

Source : F-Secure – 23 Octobre 2020 – Vulnérabilité Remote Code Exécution sur les smartphones Galaxy S20 depuis le magasin en ligne Galaxy Store, de Samsung.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.4.0