Android : un bogue du NFC permet d’installer des malwares
Tous les appareils sous Android 8 (Oreo) et ultérieurs sont concernés. Le mois dernier, Google a publié un correctif logiciel.
À la fin du mois d’octobre, Google publiait un correctif pour les appareils sous Android 8 pour une faille qui permettait à des hackers d’exploiter une fonctionnalité peu connue, le NFC beaming. Celle-ci fonctionne via le service Android OS Android Beam qui lui permet d’envoyer des données telles que des images, fichiers, vidéos et même applications par des ondes courtes portées. Le NFC pour Near-Field Communication (Communication en champ proche) a été conçu comme une alternative au Wi-Fi et Bluetooth et est au cœur des services de paiements tels que AliPay, Apple Pay ou Samsung Pay. Lorsque des applications étaient envoyées sur des appareils sous Oreo (au format APK), les notifications demandant à l’utilisateur s’il souhaite installer ou non l’app qui devaient apparaître ne s’affichaient plus.
Un problème spécifique à Android 8 et OS ultérieurs
Le chercheur en sécurité Y. Shafranovich a en effet découvert que la notification permettait a contraire d’installer l’application d’un seul clic même s’il elle provenait d’une source (un développeur) inconnue. Dans les paramètres de l’OS, sous l’onglet Sécurité, on peut choisir d’installer des applications émanant de sources inconnues (c’est même nécessaire si l’on utile un magasin d’applications alternatifs comme Yalp), mais cette option est grisée par défaut. Le problème qui est apparu avec Android 8 est le mécanisme d’autorisation révisé des applications qui leur donne la possibilité d’en installer d’autres.
Une montée en privilège sans supervision
Le bogue CVE-2019-2114 s’appuie sur Android Beam car l’application est sur liste blanche pour installer des applications de sources inconnues. Cela permettait ainsi au chercheur en sécurité de faire installer des applications par NFC sans intervention de l’utilisateur. Google affirme que le NFC n’a jamais été pensé comme un moyen d’installer des applications mais des données, et n’a donc pas envisagé ce cas de figure. Les utilisateurs d’Android 8 qui n’ont pas installé la mise à jour peuvent cependant désactiver Android Beam tout en laissant le NFC activé pour le paiement ; il faut également prendre en compte que le NFC ne fonctionne entre deux smartphones qu’à 4cm de distance, réduisant de fait les risques d’attaques.