Des chercheurs découvrent 8 failles de sécurité sur les composants VoIP du système Android

Depuis la semaine dernière, il a été découverte des failles de sécurité sur le système Android qui pourrait permettre une fois exploité de pouvoir passer des appels à l’insu des utilisateurs, dérober l’identité des personnes vulnérables, où mettre des obstacles aux appels vocaux entrants et installer un programme malveillant sur les appareils vulnérables. Ces failles de sécurité sont au nombre de huit exactement.

A lire également : Le système d’exploitation des mobile Android piraté par « l’agent Smith »

Ces failles sont qualifiées comme étant les premières du genre. Depuis toujours en fait, les chercheurs en sécurité informatique ou les universitaires ne s’intéressaient qu’aux éléments caractéristiques des matériels de sécurité de matériel d’équipement, des applications et des serveurs VoIP. Bizarrement aucun d’entre eux avait une initiative tendant à ‘analyser les composants VoIP du système de Google. C’est ainsi que 3 universitaires ont décidé de s’atteler à cette tâche. Ils ont réussi à mettre en place 3 moyens pour analyser le back end VoIP de nombreux systèmes et ont réussi à systématiquement analyser totalement les composants concernés pour détecter s’il y avait de potentielle faille de sécurité pouvant être utilisée par des pirates informatiques.

Ils ont utilisé comme technique du « fuzzing » dans la majorité de leur test, qui est une technique consistant à transmettre des données erronées et de façon aléatoire aux composants logiciels pour ensuite observer quel comportement il y aura, ce qui permettra de déceler les anomalies comme des fuites de mémoire ou encore des crashs, s’il y en a dans les résultats.

L’équipe d’universités a annoncé la semaine dernière, qu’elle avait analysé pour la toute première fois « les API système et Android Intent en se concentrant sur les interactions avec les composants VoIP natifs du système d’exploitation. ». Par la suite, les chercheurs ont installé dans leur laboratoire un banc d’essai VoIP, et en procéder à l’analyse des différents protocoles tels que :

– SIP pour Protocole d’ouverture de session

– SDP pour Protocole de description de session

– RTP pour Protocole de transport en temps réel

Après avoir analysé les journaux et réaliser des audits du code sources, passant par l’analyse des versions les plus récentes de Android tel que : Android ; d’Android 7.0 ; Android 9.0 et Android Pie. Pour finir, il fut découvert 9 failles de sécurité, qu’ils ont fini par signaler à Google dont certaines ont déjà été corrigées. Sur les 9 failles de sécurité il y avait huit qui concernaient le Back end VoIP de Android. La restante concernait une application tierce.

Grâce à l’une de ses failles, un logiciel malveillant qui soit installé sur le terminal pourrait lancer à l’insu de l’utilisateur un appel VoIP grâce à une application dénommé VK. Il pourra aussi de permettre d’écouter tous les échanges qu’entendront les utilisateurs du téléphone. Ils ont par ailleurs ajouté qu’aucune interaction n’est exigée pour être en mesure d’exploiter la faille de sécurité. « le bug est idéal pour être intégré aux logiciels espions Android, aux chevaux de Troie d’accès à distance (RAT) et autres types de programmes malveillants. » par ailleurs ils expliquent ceci : « « Par exemple, en définissant physiquement « sipuser » et « serverip » dans le format de la figure 10 (a), mProfileDirectory devient « /data/data/-com.android.phone/files/alice/@SomeSite/../. ./../../../../sdcard/ « et permet de faire fuiter le fichier de profil SIP sur la carte SD. Un déni de service permanent peut également se produire si « serverip » est configuré pour écraser le fichier d’une autre application système, par exemple mmssms.db comme le montre la figure 10 (b). » un peu technique mais pour dire que ses failles sont assez dangereuses. En collaboration avec Google, ils essaient d’y remédier en maintenant en place un correctif de sécurité.

Accédez maintenant à un nombre illimité de mot de passe :