Lors d’une importante fuite de sécurité, les certificats de plateforme Android appartenant à LG, Samsung et MediaTek ont été exposés récemment. Cette faille de sécurité a rendu des millions d’appareils Android dans le monde vulnérables aux logiciels malveillants car ces certificats peuvent permettre aux pirates de signer des applications malveillantes pour qu’elles soient acceptées par le système et disposent de privilèges élevés.
La fuite, découverte et signalée par un employé de Google, permet aux hackers de créer des applications malveillantes qui peuvent accéder à des systèmes d’exploitation entiers appartenant à Android.
Dans les faits, plusieurs clés de signature d’applications ont été dévoilées (notamment celles des équipementiers Samsung, Lg et MediaTek) laissant aux hackers la possibilité inespérée de déployer des applications malveillantes autorisées sur les smartphones.
Qu’est-ce qu’un certificat de signature ?
Crucial pour la sécurité des smartphones Android, la signature des applications est un processus qui garantit que les mises à jour proviennent bien du développeur d’origine, car la clé utilisée pour les signer est privée.
Les applications signées avec ce certificat fonctionnent avec un identifiant utilisateur privilégié : Android.uid.system. Il détient les autorisations système et les autorisations d’accès aux données utilisateur.
A partir du moment où vous avez ce certificat, vous pouvez signer toute autre application avec le même identifiant utilisateur, ce qui vous donne le même niveau d’accès au système d’exploitation Android.
Le problème ici est que certains de ces certificats ont été volés et utilisés pour signer des logiciels malveillants, ce qui veut dire que les hackers ont pu ajouter des malwares dans des applications de confiance puisque la version malveillante utilise la même clé privée que l’original.
Le problème est-il résolu ?
Google a déjà prévenu les fournisseurs OEM concernés et leur a demandé de changer les certificats de leurs plates-formes Android en les chargeant de faire des rotations des clés publiques et privées.
Google leur a aussi demandé de faire une enquête pour comprendre comment la fuite s’est produite et de minimiser le nombre d’applications signées avec leurs certificats pour éviter de futurs incidents.
Google, quant à lui, s’est montré plutôt rassurant et a annoncé que toutes les parties concernées ont été informées et ont réagi en conséquence.
Selon un porte-parole de Google :
Et pour finir, Google a précisé que des détections des clés compromises ont été ajoutées à Android Build Test Suite (BTS), qui permet de créer et d’analyser une image du système.
Sachant que des détections de logiciels malveillants sont déjà présentes dans l’antivirus intégré Google Play Protect, Google nous rassure en expliquant qu’il n’y a « aucune indication que les malwares qui utilisent les certificats sont présents ou ont été présents dans le magasin d’application Play Store. »
Toutefois, l’éditeur recommande aux utilisateurs de passer à la dernière version d’Android pour bénéficier du meilleur niveau de sécurité.