Un chercheur américain en sécurité a publié un code de validation de principe (Proof of concept) sur GitHub pour la faille 0day Android récemment divulguée.
La vulnérabilité a été découverte au début du mois par les chercheurs en sécurité de Google Project Zero. À l’époque, Google avait expliqué que cette faille était activement exploitée par des acteurs malveillants.
Lors de la publication de la faille 0day (identifié par le matricule CVE-2019-2215), Maddie Stone, chercheuse en sécurité de Google, a également publié du code de preuve de concept (PoC), mais cette première version du code n’accordait qu’un accès en lecture / écriture au noyau.
Pour exploiter effectivement cette preuve de concept à des fins malveillantes, un attaquant avait toujours besoin de trouver un moyen de contourner les nombreuses autres protections de sécurité mises en place au niveau du noyau Android.
Mais dans un post de blog publié hier, Grant Hernandez, doctorant à la Florida Institute of Cyber Security de l’Université de Floride, a détaillé comment cela pouvait être fait.
Nommé Qu1ckR00t, le PoC peut contourner les capacités DAC (Discretionary Access Control) et Linux Capabilities (CAP), et peut désactiver SELinux (Linux optimisé pour la sécurité), SECCOMP (Secure Computing Mode ) et MAC (Mandatory Access Control ).
Le résultat final est une validation de concept plus intrusive qui peut être utilisée pour rooter un appareil Android, donnant ainsi à un utilisateur ou à un attaquant le contrôle total de l’appareil.
Le code a été publié sur GitHub sous sa forme de code source et non sous forme de fichier APK déjà emballé (format utilisé pour l’installation d’une application Android). Les utilisateurs devront le compiler eux-mêmes, mais une fois compilé, ils auront accès à une application permettant de rooter un smartphone Android en un clic.
Rooting a Pixel 2 with Magisk from an untrusted app using CVE-2019-2215, no OEM unlock needed pic.twitter.com/yGovBluQj5 — Grant Hernandez (@Digital_Cold) October 9, 2019
Hernandez a déclaré n’avoir testé que Qu1ckR00t avec des appareils Pixel 2 et déconseille aux utilisateurs non expérimentés de jouer avec le code, car ils risquent de perdre leurs données.
L’inconvénient de la publication d’un outil tel que Qu1ckR00t est que les auteurs de programmes malveillants peuvent désormais également étudier ce code. Cette preuve de concept améliorée peut être intégrée à des applications malveillantes pour permettre aux logiciels espions, aux chevaux de Troie ou aux ransomwares Android d’obtenir un accès root aux appareils qu’ils infectent.
Patchs disponibles
Pour éviter tout problème, les utilisateurs sont invités à installer les correctifs nécessaires. Google a corrigé le code de sécurité CVE-2019-2215 dans le bulletin de sécurité Android d’octobre 2019 (niveau de correctif de sécurité 2019-10-06).
Google a déclaré que la faille 0day CVE-2019-2215 affectait les appareils de différents fournisseurs, tels que:
Pixel 2 avec Android 9 et Android 10 preview
Huawei P20
Xiaomi Redmi 5A
Xiaomi Redmi Note 5
Xiaomi A1
Oppo A3
Moto Z3
Oreo LG phones
Samsung S7, S8, S9
Seuls les appareils fonctionnant sous Android 8.x et versions ultérieures sont vulnérables.
Comments