Qu'est-ce que la vulnérabilité StrandHogg ?

Samuel Bakken, décembre 2, 2019
What is the StrandHogg Vulnerability?

La BBC a publié un article cette semaine sur une vulnérabilité dangereuse dans le système d'exploitation Android appelé "StrandHogg". Les chercheurs en sécurité postulent que chaque application Android est affectée par la vulnérabilité que les attaquants peuvent exploiter pour accéder à des données sensibles, voler les informations d'identification bancaires et glisser les codes de connexion envoyés par SMS. Les appareils enracinés et non enracinés fonctionnant sous Android, y compris Android 10, sont touchés, et les attaques sur StrandHogg peuvent se produire à l'insu d'un utilisateur. Lisez la suite pour en savoir plus sur StrandHogg, son impact, ce que cela signifie pour la sécurité des applications mobiles en général, et comment protéger vos applications mobiles et les utilisateurs contre la vulnérabilité.

La vulnérabilité StrandHogg et le détournement de tâches dans Android

StrandHogg StrandHoggPromon a nommé la vulnérabilité StrandHogg et a confirmé que la vulnérabilité existe dans toutes les versions d'Android, y compris Android 10. Selon Promon, 500 des applications les plus populaires dans le Google Play Store étaient vulnérables - les conduisant à une hypothèse que chaque application Android est vulnérable par défaut. Dans les versions ultérieures d'Android, le malware est également capable d'exploiter la vulnérabilité d'injecter un faux écran de connexion sur le dessus d'une application authentique, à l'insu d'un utilisateur, et la collecte des informations d'identification de l'utilisateur.

Pour réitérer - ce n'est pas une attaque théorique ou quelque chose qui n'a été prouvé dans un laboratoire. Promon a des preuves tangibles d'attaquants profitant de ce problème et faisant des dommages graves - en particulier à un utilisateur de banque mobile dans un cas. Avec la possibilité de voler les informations d'identification bancaires d'une victime, par exemple, et d'accéder à distance à tous les codes de sécurité envoyés à cette même victime par SMS, ils ont tout ce dont ils ont besoin pour accéder au compte.

Les résultats de Promon proviennent de travaux menés par des chercheurs de l'Université d'État de Pennsylvanie il y a plus de quatre ans. À l'époque, les chercheurs ont sensibilisé Google au problème dans la mise en œuvre par Android de son attribut taskAffinity. Aujourd'hui, plus de quatre ans plus tard, les criminels capitalisent sur la faille.

Voici une vidéo produite par Promon montrant l'exploit StrandHogg en action.

Comment aimez-vous vos araignées? Effets des vulnérabilités d'Android iOS sur la sécurité des applications mobiles

Les nouvelles sur les logiciels malveillants ciblant la vulnérabilité StrandHogg m'a rappelé un dessin animé que j'ai vu plus tôt ce mois-ci. Le dessin animé commentait le débat éternel sur le système d'exploitation mobile qui est plus sûr - Android ou iOS.

Je pense que la punchline est que le débat est insoluble. C'est une énigme "pick your poison". Vous avez du mal à faire valoir que Android ou iOS est plus sûr que l'autre. Les deux sont des cibles lucratives et des groupes des deux côtés de la ligne du bien ou du mal dépensent des ressources importantes dans la poursuite de la fissuration de ces systèmes d'exploitation mobiles pour la surveillance, la fraude, ou d'autres raisons.

Comme un exemple de la valeur de ces cibles et les exploits connexes peuvent être, considérez que Zerodium, une société qui achète et vend des exploits, paie 2,5 millions de dollars pour "1-clic" exploits d'Android et 1 million de dollars pour les exploits 1-clic d'iOS. Zerodium revend ensuite ces exploits à leurs clients (il est répandu que les clients de Zerodium sont pour la plupart des organisations gouvernementales). C'est beaucoup d'argent qui change de mains.

Zerodium signale que les paiements dépendent, entre autres variables, de « la popularité et du niveau de sécurité du logiciel/système affecté ». En termes de popularité, statCounter, le fournisseur d'analyse de trafic web, place la part de marché mondiale d'Android à 76,67 % et celui d'iOS à 22,09 % en octobre 2019.

La plupart des gens utilisent Android. Il est donc logique que les exploits d'Android pourrait être plus précieux. En termes de sécurité perçue, notez que Zerodium a mis à jour sa liste de prix au début du mois de septembre. C'était juste quelques jours après que les chercheurs de Google ont révélé une campagne sérieuse d'exploits iOS dans la nature qui a compromis les utilisateurs d'iOS qui ont visité un site Web malveillant, résultant en les attaquants de prendre le contrôle sur l'appareil d'un visiteur (les défauts ont été corrigés dans iOS 12.1.4). La liste de prix mise à jour de Zerodium conduit certains à spéculer que le marché considère maintenant iOS comme moins sûr.

Mais, n'oublions pas qu'il semble pas une semaine ne passe pas sans un rapport d'une application sur le Google Play Store qui est soit malveillant lui-même ou un leurre dont le but final est d'installer des logiciels malveillants sur l'appareil Android d'un utilisateur.

Protéger les applications mobiles et les utilisateurs contre les vulnérabilités non corrigées

Une histoire effrayante. Mais comment pouvons-nous tous nous protéger contre les attaques contre des failles telles que StrandHogg ou d'autres vulnérabilités connues et inconnues qui ne sont pas corrigées dans les systèmes d'exploitation mobiles? Je soutiens que les développeurs d'applications (à la fois les personnes réelles qui développent des applications mobiles et les entreprises qui publient ces applications) sont les héros dont nous avons besoin dans cette situation.

Les entreprises qui facilitent les services par le biais d'applications mobiles doivent se rendre compte que, malgré tous leurs efforts, Android et iOS peuvent laisser des lacunes qui exposent leurs applications et leurs utilisateurs à des risques. Ils doivent faire des investissements supplémentaires dans la technologie de sécurité des applications telles que le blindage des applications mobiles et la protection du temps d'exécution qui surveille en permanence une application mobile pendant son fonctionnement - identifier les activités potentiellement malveillantes comme celle-ci et l'arrêter avant qu'elle ne nuise. OneSpan App Shielding, par exemple, a inclus des protections spécifiques contre les attaques de détournement de tâches qui tirent parti de la vulnérabilité StrandHogg depuis près de deux mois maintenant.

Beaucoup de développeurs disent qu'ils reconnaissent l'importance de la sécurité, mais n'ont pas assez de temps pour le faire correctement. Les entreprises doivent donc s'assurer qu'elles donnent aux développeurs les outils dont ils ont besoin pour intégrer la sécurité dans les applications mobiles qu'elles développent. Quelques exemples :

  • Fournir une éducation sécurisée au code
  • Mettre en place une technologie qui permet de tester régulièrement la sécurité (analyse statique et dynamique) des applications mobiles
  • Utilisation de SDK fiables provenant de sources fiables qui facilitent l'implémentation par les développeurs d'une authentification forte dans leurs applications et mécanismes qui assurent la sécurité des données au repos et en transit
  • Utilisation de protections avancées telles que le blindage d'applications et la protection de temps d'exécution qui fournissent une couche supplémentaire de protection contre les attaques avancées dans des environnements potentiellement hostiles tels que les appareils Android et iOS

Avant de mettre la main dans la boîte... Protéger  

Relever le défi du développement d'une application bancaire mobile réussie n'est pas chose facile, et les équipes de développement doivent faire face aux pressions de toutes les directions. Il est impératif d'obtenir une application construite, testée et publiée le plus rapidement possible. Toutefois, dans la ruée vers le marché, la sécurité ne peut être négligée. Lors de la publication d'une application mobile, il n'y a aucun moyen de savoir qui va le télécharger ou les conditions de l'appareil sur lequel l'application sera utilisée. Si un appareil est compromis, votre application est en danger.

Le blindage d'applications avec protection de temps d'exécution atténue les risques avec une sécurité éprouvée et fiable qui peut s'intégrer dans des calendriers de production et des budgets serrés.

StrandHogg StrandHogg
Livre blanc

Défendre contre StrandHogg et d'autres menaces mobiles

Pour aider les dirigeants de la sécurité et de DevSecOps à plaider en faveur d'une sécurité mobile plus forte, ce livre blanc présente la raison d'être de l'entreprise et explique comment la protection des applications avec la protection des temps d'exécution est essentiel au développement d'une application bancaire mobile sécurisée et résiliente. 

Télécharger

Sam est senior Product Marketing Manager responsable du portefeuille de sécurité des applications mobiles OneSpan et possède près de 10 ans d'expérience dans le domaines de la sécurité de l'information.