Encore une faille découverte dans Android. Cette fois il s'agit d'une faille que l'on peut qualifier de majeure car elle permet de détourner tout le trafic Internet d'un appareil Android au moyen d'un simple SMS malicieux.

Ce sont les chercheurs de Check Point qui ont identifié cette vulnérabilité dont ils ont vérifié la présence notamment sur les modèles Samsung, Huawei, LG et Sony. 

Le vecteur d’attaque repose sur un processus appelé provisioning OTA (Over-the-Air), qui est normalement utilisé par les opérateurs de réseau cellulaire pour déployer des paramètres spécifiques au réseau sur un nouveau téléphone rejoignant leur réseau. Cependant, n'importe qui peut envoyer des messages de provisioning OTA.

Les chercheurs de Check Point expliquent : "La norme pour le provisioning en direct, OMA CP (Open Mobile Alliance Client Provisioning), inclut des méthodes d'authentification plutôt limitées. Un destinataire ne peut pas vérifier si les paramètres suggérés proviennent de son opérateur réseau ou d'un imposteur. Nous avons constaté que les téléphones fabriqués par Samsung, Huawei, LG et Sony permettent aux utilisateurs de recevoir des paramètres malveillants via ces messages de provisioning faiblement authentifiés. Les téléphones Samsung aggravent cette situation en autorisant également les messages OMA CP non authentifiés."

Pour envoyer des messages OMA CP, un attaquant a besoin d'un modem GSM (un composant électronique qui vaut une dizaine de dollars ou tout simplement d'un téléphone fonctionnant en mode modem. Le téléphone attaqué doit lui même être sur un réseau 3G/4G. L'attaque n'est pas possible sur un téléphone connecté en WiFi.

Une attaque réussie amène les utilisateurs à accepter de nouveaux paramètres de téléphone  tels que celui-ci achemine tout leur trafic Internet via un proxy contrôlé par l'attaquant.

Les chercheurs de Check Point ont publié un très intéressant billet technique expliquant en détail le fonctionnement d'une telle attaque.

Pour que l'attaque soit possible, l'attaquant doit posséder les numéro IMSI de ses victimes, ce qui n'est pas forcément très difficile. En effet, une application qui dispose de l'autorisation READ_PHONE_STATE peut lire le numéro IMSI de l'utilisateur via l'API standard ((TelephonyManager) getSystemService (Context.TELEPHONY_SERVICE)). GetSubscriberId (). Les chercheurs font remarquer que plus du tiers des applications lancées au cours de ces trois dernières années nécessitent déjà cette autorisation.

Check Point a communiqué cette vulnérabilité aux constructeurs. Samsung a publié un correctif en mai dernier, LG en juillet. Huawei prévoir de le faire sur sa prochaine génération de smartphones et Sony refuse de reconnaître la vulnérabilité.