Une nouvelle vulnérabilité Android découverte par MWR InfoSecurity détaille comment les applications peuvent inciter les utilisateurs à enregistrer leurs écrans à leur insu.
Android est présent sur des milliards d'appareils dans le monde et de nouvelles vulnérabilités sont découvertes chaque jour. Maintenant, un exploit découvert par MWR InfoSécurité détaille comment les applications des versions Android entre 5.0 et 7.1 peuvent inciter les utilisateurs à enregistrer le contenu de l'écran à leur insu.
Cela implique Android MédiasProjection framework, lancé avec 5.0 Lollipop et donnant aux développeurs la possibilité de capturer l'écran d'un appareil et d'enregistrer l'audio du système. Dans toutes les versions d'Android antérieures à 5.0 Lollipop, les applications de capture d'écran devaient s'exécuter avec les privilèges root ou devaient être signées avec un identifiant spécial. clés, mais dans les versions plus récentes d'Android, les développeurs n'ont pas besoin des privilèges root pour utiliser le service MediaProjection et ne sont pas tenus de déclarer autorisations.
Normalement, une application qui utilise le framework MediaProjection demande l'accès au service via un intention, qu'Android présente à l'utilisateur sous la forme d'une fenêtre contextuelle SystemUI. MWR InfoSécurité a découvert qu'un attaquant pouvait superposer une fenêtre contextuelle SystemUI normale avec un leurre pour inciter l'utilisateur à accorder à l'application des autorisations d'enregistrement d'écran. La raison? Les versions d'Android plus récentes que 5.0 Lollipop ne sont pas en mesure de détecter les fenêtres contextuelles SystemUI partiellement masquées.
Cette vulnérabilité n'a actuellement été corrigée que dans Android 8.0 Oréo, indique le rapport, et comme la majorité des smartphones Android n'exécutent pas la dernière version d'Android, cela reste un risque sérieux. Environ 77,5 % des appareils Android actifs étaient vulnérables à l'attaque au 2 octobre, selon MWR InfoSécurité.
Il n'y a pas de solution à court terme au problème de mise à niveau: cela dépend des fabricants de téléphones. En attendant, les développeurs Android peuvent se défendre contre l'attaque en activant le FLAG_SECURE paramètre de mise en page via le WindowManager de leur application, qui garantit que le contenu de l'application les fenêtres sont traitées comme sécurisées et les empêchent d'apparaître dans les captures d'écran ou d'être visualisées sur des supports non sécurisés affiche.
Du côté des utilisateurs, MWR InfoSécurité ajoute que cette attaque n'est pas totalement indétectable. Le rapport précise :
"Lorsqu'une application accède au service MediaProjection, elle génère un affichage virtuel qui active l'icône de screencast dans la barre de notification. Si les utilisateurs voient une icône de screencast dans la barre de notification de leur appareil, ils doivent rechercher l'application/le processus actuellement en cours d'exécution sur leur appareil.
La morale de l'histoire? Faites attention aux applications que vous téléchargez.
Source: MWR InfoSecurity