mer. Oct 5th, 2022

Les chercheurs ont déjà contourné les nouvelles restrictions de Google sur l’accès aux services d’accessibilité d’Android 13.

Google ne se lasse pas de promouvoir de nouvelles fonctionnalités de sécurité pour son nouveau système d’exploitation mobile, Android 13. De nouvelles restrictions d’accès aux services d’accessibilité du système visent à empêcher l’introduction clandestine de code malveillant. Mais comme le rapporte BleepingComputer, des développeurs de logiciels malveillants diligents ont déjà réussi à contourner la nouvelle barrière de sécurité du tout nouvel Android 13.

Les applications dropper ouvrent la porte au code malveillant

Afin de charger ensuite du code malveillant dans le système, les soi-disant applications dropper ouvrent généralement la porte. Ces applications sont régulièrement disponibles sur le Play Store et se déguisent en applications régulières qui promettent d’effectuer une tâche légitime. Une fois qu’ils ont convaincu l’utilisateur de leur accorder les autorisations nécessaires, ils peuvent faire des ravages sur le smartphone et charger d’autres logiciels malveillants. La plupart du temps, les applications dropper abusent des services d’accessibilité du système pour obtenir plus d’autorisations.

Par exemple, nous avons déjà signalé en 2019 des alternatives à WhatsApp qui introduisaient clandestinement des logiciels malveillants sur les smartphones de nombreuses victimes. La même année, nous avons également signalé dans quelle mesure les logiciels malveillants se propagent via le Play Store. Plus de 335 millions de téléchargements ont été touchés à l’époque.

Services d’accessibilité avec nouvelle barrière de sécurité

Avec les soi-disant services d’accessibilité, les applications peuvent simuler n’importe quel balayage et tapotement sur l’écran et accorder ainsi des autorisations supplémentaires sans être remarquées.

Voir aussi  MindGeek : Lutte contre le piratage porno via divers fournisseurs

Les nouveaux paramètres restreints d’Android 13 sont désormais conçus pour empêcher les applications téléchargées de demander des autorisations de services d’accessibilité. Seules les applications chargées directement depuis le Play Store reçoivent cette autorisation. Parce que là, Google peut effectuer des contrôles de sécurité à l’avance et bloquer directement les applications qui souhaitent demander des autorisations douteuses.

Les chercheurs de Threat Fabric redynamisent les services d’accessibilité

Cependant, les chercheurs de Threat Fabric ont maintenant réussi à créer un compte-gouttes qui contourne la nouvelle fonctionnalité de sécurité de Google. Celui-ci est capable de recharger du code malveillant et de sécuriser à nouveau des autorisations étendues via les services d’accessibilité.

Pour ce faire, les chercheurs ont utilisé une installation en plusieurs étapes, dans laquelle ils ont divisé les packages d’installation en parties plus petites et leur ont attribué des noms, des codes de version et des certificats de signature identiques. Par conséquent, Android 13 ne considère pas les données rechargées comme un chargement latéral, de sorte que les nouvelles restrictions d’accès aux services d’accessibilité ne s’appliquent pas.

« Si elle est entièrement mise en œuvre, cette petite modification contournerait complètement les nouvelles mesures de sécurité de Google avant qu’elles ne soient réellement en place. »

Tissu de menace

Jusqu’à présent, aucun logiciel malveillant connu n’exploite réellement cette vulnérabilité. Cependant, comme toujours, ce n’est qu’une question de temps. La lutte contre les logiciels malveillants a toujours été un jeu du chat et de la souris.