Une faille de sécurité majeure que Google a classée comme un problème «hautement prioritaire» a menacé tous les utilisateurs d’appareils Android exécutant 4.4 KitKat et des versions plus anciennes du système d’exploitation mobile. Découverte par le chercheur de Positive Technologies, Sergey Toshin, la vulnérabilité affectait WebView, un composant Android conçu pour émettre des autorisations pour afficher des pages Web dans des applications.

Son existence a fait d’Android Instant Apps une menace, permettant aux attaquants potentiels d’intercepter un large éventail d’informations non cryptées provenant de smartphones et tablettes ciblés.

Menaces instantanées

La faille nouvellement signalée existait au sein de Chromium, menaçant ainsi chaque navigateur basé sur le moteur open-source de Google. Outre Chrome lui-même, Samsung Internet et Yandex sont également basés sur Chromium et comptent des millions d’utilisateurs dans le monde. L’origine de la vulnérabilité signifie qu’elle menaçait les appareils depuis fin octobre 2013 lorsque Android 4.4 KitKat a fait ses débuts jusqu’en janvier lorsque Google a publié une variante stable de Chrome build 72.0.3626.81 qui contient un correctif pour la faille de sécurité.

La vulnérabilité était liée à la fonction principale d’Instant Apps qui invite les appareils Android à télécharger un petit fichier via un navigateur Chromium. Ce fichier est ce qu’est réellement une application instantanée; c’est-à-dire que ce n’est pas que la plate-forme est une solution sans téléchargement mais qu’elle réduit la taille du téléchargement requis de manière massive, éliminant ainsi presque complètement le temps d’initialisation.

Le fichier en question est spécial dans le sens où il est toujours supprimé après la fermeture d’une application instantanée, mais c’est précisément la période avant cette fermeture où la vulnérabilité existait depuis près de quatre ans et demi, ce qui rend les applications instantanées malveillantes « extrêmement dangereuses », comme décrit par Leigh-Anne Galloway, responsable de la résilience de la cybersécurité chez Positive Technologies.

Au cours de la période vulnérable, une application instantanée malveillante a pu accéder à tous les contenus WebView, ce qui constitue une avenue d’attaque qui aurait pu permettre aux pirates de voler des informations critiques telles que les numéros de sécurité sociale et les informations de carte de crédit. L’historique du navigateur, les en-têtes et les jetons d’authentification ont été exposés et disponibles pour être volés par le type d’accès WebView autorisé à tort à Instant Apps en raison de la faille, entre autres informations sensibles.

Soyez reconnaissant que personne ne se soucie des applications instantanées

Annoncées à l’origine lors de la conférence des développeurs Google I / O 2016, les applications instantanées ont été conçues pour permettre aux consommateurs d’essayer rapidement les fonctionnalités de base des applications éligibles sans avoir à les télécharger. Dans la pratique, le service lancerait des versions allégées de ces applications directement depuis le Google Play Store.

En raison du nombre d’étapes entre l’ouverture de la vitrine numérique et le lancement d’une application instantanée, il est évident que Google n’a jamais voulu que la fonctionnalité soit une alternative à long terme au téléchargement et à l’installation d’applications en local, mais plutôt à une solution à essayer avant de télécharger. .

Le service n’a pas encore vraiment décollé et n’a pas été adopté à grande échelle dans un segment d’application particulier. Bien que Google n’ait pas encore signalé qu’il cherchait à abandonner l’initiative, il ne semble pas que le projet ira nulle part pour le moment. En substance, le fait que presque personne n’ait jamais pris en charge les applications instantanées réduit le risque que la vulnérabilité nouvellement signalée ait jamais été (ab) utilisée par des pirates.

Avoir une version à jour de Chrome suffit à fermer cette échappatoire sur les appareils exécutant Android 7.0 Nougat et les versions ultérieures du système d’exploitation, ont confirmé les experts derrière la découverte d’origine. Les versions de firmware plus anciennes gèrent WebView séparément du navigateur de Google et devraient recevoir un correctif pour les premiers de leurs fabricants.

Laisser un commentaire