Gabriel V.
Pourquoi c’est important: Des entreprises telles qu’Epic Games et même l’administration Biden ont critiqué Apple pour maintenir un jardin clos et ne pas autoriser le sideloading sur iOS. Cependant, l’une des raisons solides de maintenir les portes fermées est l’un des problèmes les plus persistants de Google – la version. En utilisant le chargement dynamique du code, les pirates informatiques peuvent fournir des mises à jour malveillantes aux applications approuvées par le site marchand d’applications via un serveur tiers, et le site marchand ne peut pas faire grand-chose à ce sujet.
L’équipe d’action en cybersécurité de Google (GCAT) note dans le rapport Threat Horizons de ce mois-ci que Google Play continue de connaître un problème de logiciels malveillants connu. Les développeurs d’applications malveillantes utilisent la « version » pour télécharger des logiciels malveillants dans des applications en apparence inoffensives.
Premièrement, l’acteur de la menace télécharge une application inoffensive sur Google Play. Le logiciel ne contient aucun logiciel malveillant, il ne déclenche donc pas d’alertes lors du processus d’approbation automatisé. Ensuite, les attaquants envoient des mises à jour malveillantes via un serveur possédé ou compromis en utilisant le chargement dynamique du code (DCL). Ainsi, l’application autrefois sûre devient une porte dérobée vers l’appareil, permettant aux pirates informatiques d’extraire des informations personnelles, y compris les informations d’identification de l’utilisateur.
« Les campagnes utilisant la version ciblent généralement les informations d’identification, les données et les finances des utilisateurs », lit-on dans le rapport. « Dans un environnement d’entreprise, la version montre la nécessité de principes de défense en profondeur, comprenant notamment la limitation des sources d’installation d’applications à des sources fiables telles que Google Play ou la gestion des appareils d’entreprise via une plateforme de gestion des appareils mobiles (MDM) ».
Bypassage du DCL des contrôles de sécurité de Play Store pour corriger les comportements malveillants dans les applications déjà installées.
Google est au courant de ce vecteur d’attaque depuis un certain temps, mais il est difficile de le lutter car les logiciels malveillants contournent complètement les contrôles de Google Play. Vous vous souvenez peut-être qu’il y a environ un an, le site marchand a supprimé plusieurs applications antivirus apparemment sécurisées lorsque des chercheurs en sécurité ont découvert que les développeurs utilisaient le DCL pour mettre à jour les programmes avec le cheval de Troie bancaire Sharkbot.
Cependant, même lorsque Google supprime ces applications malveillantes, d’autres finissent par apparaître, tandis que de nombreuses autres restent disponibles grâce au sideloading via des sites marchands d’applications alternatifs. Le rapport de GCAT mentionne que Sharkbot reste un problème courant dans les applications Android en raison du DCL. Parfois, il trouve des versions de Sharkbot modifiées avec des fonctionnalités réduites pour réduire les chances d’être éjecté par les vérifications automatisées. Cependant, des éditions entièrement fonctionnelles peuvent proliférer sur des sites marchands d’applications tiers.
La mitigation revient finalement à l’utilisateur final Android ou à l’administrateur informatique de l’entreprise. Google recommande de télécharger uniquement des logiciels depuis Google Play ou d’autres sources fiables. Alternativement, Android Enterprise ou des solutions de gestion de mobilité d’entreprise tierces disposent d’outils intégrés permettant aux administrateurs de gérer sélectivement la distribution d’applications sur les appareils de l’entreprise. Google suggère également d’utiliser correctement les listes d’autorisations du Marketplace pour limiter les risques.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
