Une vulnérabilité de longue date a affecté LG, Samsung et d’autres fabricants liés à Android
Baked into Android est un système qui fait confiance aux applications signées par la même clé qui est utilisée pour authentifier le système d’exploitation lui-même. Vous pouvez donc voir quel est le problème ici. Un mauvais acteur ayant le contrôle de ces clés pourrait faire en sorte qu’Android « fait confiance » aux applications chargées de logiciels malveillants au niveau du système. C’est comme donner à un voleur les clés de votre maison et de votre voiture avec votre approbation. Toutes les données sur les appareils vulnérables pourraient être à risque. Et certaines de ces clés sont utilisées pour signer des applications régulières installées à partir du Play Store ou téléchargées à partir d’autres vitrines d’applications Android.
Il n’y a pas de tourner autour du pot quand il s’agit de cette vulnérabilité.
Rahman tweete que les clés de signature divulguées ne peuvent pas être utilisées pour installer des mises à jour en direct qui sont compromises. Et il ajoute que le système Play Store Protect pourrait signaler les applications signées par les clés divulguées comme potentiellement dangereuses.
Bien que toutes les sources des clés divulguées n’aient pas encore été identifiées, les entreprises qui ont été nommées sont les suivantes :
- Samsung
- LG
- Médiatek
- Szroco (la société qui produit les tablettes Onn de Walmart)
- Revoir
Google affirme que la vulnérabilité lui a été signalée en mai de cette année et que les entreprises impliquées ont « pris des mesures correctives pour minimiser l’impact sur les utilisateurs ». Pas exactement le signe « tout clair », surtout à la lumière des nouvelles selon lesquelles APK Mirror a très récemment rencontré certaines des clés de signature vulnérables dans les applications Android de Samsung.
Un porte-parole de Google a déclaré: « Les partenaires OEM ont rapidement mis en œuvre des mesures d’atténuation dès que nous avons signalé la compromission clé. Les utilisateurs finaux seront protégés par les atténuations des utilisateurs mises en œuvre par les partenaires OEM. Google a mis en place de larges détections pour les logiciels malveillants dans Build Test Suite, qui analyse le système images. Google Play Protect détecte également le logiciel malveillant. Rien n’indique que ce logiciel malveillant se trouve ou se trouvait sur le Google Play Store. Comme toujours, nous conseillons aux utilisateurs de s’assurer qu’ils utilisent la dernière version d’Android.
Ce que vous devez faire pour limiter votre exposition
Google recommande aux entreprises concernées d’échanger les clés de signature actuellement utilisées et de cesser d’utiliser celles qui ont fui. Il suggère également que chaque entreprise ouvre une enquête pour comprendre comment les clés ont été divulguées. Espérons que cela empêcherait que quelque chose comme ça se reproduise à l’avenir. Google recommande également aux entreprises d’utiliser des touches de chant pour le nombre minimum d’applications afin de réduire le nombre de fuites potentielles à l’avenir.
Alors, que pouvez-vous faire en tant que propriétaire d’un téléphone Android éventuellement affecté ? Assurez-vous que votre combiné exécute la dernière version d’Android et installez toutes les mises à jour de sécurité dès leur arrivée. Peu importe si ces mises à jour n’apportent pas de nouvelles fonctionnalités intéressantes, car leur travail consiste à s’assurer que votre appareil ne soit pas compromis. Et les utilisateurs d’Android doivent s’abstenir de télécharger des applications. C’est lorsque vous installez une application provenant d’une vitrine d’applications tierce.