Les chercheurs en sécurité de Palo Alto Networks ont découvert une vulnérabilité qui permet de substituer un malware à une application en cours d'installation. Les systèmes Android qui présentent cette vulnérabilité sont Android 2.3, 4.0.3, 4.0.4, 4.1.x, 4.2.x ainsi que certains 4.3. Ce qui touche potentiellement 49.5% des utilisateurs selon Palo Alto Networks.

L'attaque se fait au moment de l'installation d'une nouvelle application sur le smartphone. Ces systèmes Android ne peuvent être attaqués via cette vulnérabilité que si l'application installée n'est pas téléchargée depuis le Play Store.

Lors de l'installation d'une application Android, un fichier .APK est téléchargé sur le smartphone. Le système vérifie le fichier, puis l'exécute pour installer l'application. Arrive une étape au cours de laquelle l'application demande à l'utilisateur de lui accorder certains droits. C'est à ce moment précis que l'attaque peut avoir lieu.

Le problème se situe dans l'étrange politique d'Android qui stocke les fichiers .APK dans un espace réservé et protégé du système de fichiers lorsque l'application est installée depuis le Play Store, tandis qu'elle place le fichier .APK dans un espace non protégé si l'application est installée depuis une autre source.

Si une application attaquante modifie le fichier .APK ou lui en substitue un autre, c'est ce fichier .APK 'customisé' qui sera effectivement installé, avec les droits qui viennent d'être accordés par l'utilisateur. Android ne vérifie pas que le fichier .APK n'a pas été bidouillé, alors qu'il peut à priori l'être puisque situé dans un espace non protégé du système de fichiers. Le billet de blog cité plus haut détaille plusieurs scenarii d'attaques possibles.

Une application attaquante peut être une application en apparence propre sur elle, sans droits particuliers. Cette application, outre son activité de façade, détectera le déclenchement d'une PackageInstaller Activity. Si à ce moment la nouvelle application n'est pas installée depuis le Play Store, l'application attaquante pourra modifier le fichier .APK, ou même lui en substituer un autre. Si l'application en cours d'installation a demandé des droits élevés à l'utilisateur, l'application substituée endosse ces droits.

Google affirme n'avoir connaissance d'aucun exploit de cette vulnérabilité pour le moment, ce qui est bien sûr susceptible de changer puisque la faille est désormais rendue publique.

Palo Alto Netwoks, qui souligne que se limiter à installer des applications depuis le Play Store permet de se protéger, propose sur le Play Store l'application Hijacking Scanner qui vous permettra de savoir si votre smartphone est vulnérable. Le code source de cette application est disponible sur GitHub.