Lookout a découvert une faille TCP qui impacte près de 80 % d’Android, soit environ 1,4 milliard d’appareils basés sur une base installée (Statista). La faille permet à toute personne malintentionnée d’obtenir un accès non-crypté et de dégrader les données cryptées pour pouvoir espionner leurs victimes.

Cette faille est inquiétante pour les utilisateurs Android car les attaquants sont mesure d'exécuter cette manipulation d’espionnage sans avoir recours à une attaque plus traditionnelle de type  "man-in-the-middle" qui permet de compromettre le réseau afin d'en intercepter le trafic.

Des chercheurs de l’Université de Californie, Riverside et du Laboratoire de Recherche de l’Armée Américaine ont récemment révélé une vulnérabilité dans le TCP lors de la conférence USENIX Security 2016, portant spécifiquement sur les systèmes Linux. Cette vulnérabilité permet à un attaquant d'espionner à distance toutes personnes qui utilisent du trafic non chiffré ou de pouvoir dégrader des connexions cryptées. Bien qu’une attaque Man-in-the-middle ne soit pas nécessaire, l'attaquant doit quand même connaître connaître une adresse IP source et sa destination pour pouvoir exécuter et réussir son attaque.

On peut estimer que toutes versions Android exécutant le noyau Linux 3.6 (approximativement 4.4 Android KitKat) sont vulnérables à cette attaque soit 79,9 % de l'écosystème Android.

Cette vulnérabilité a été attribuée un CVE-2.016 à 5.696, qui correspond à un niveau de gravité moyen. Bien que l’exploitabilité d’une telle faille ne soit pas simple, le risque existe, surtout pour les attaques ciblées.

Un patch Linux a été rédigé le 11 Juillet, 2016. Cependant, après vérification, il apparaît que la dernière version développeur d'Android Nougat, n’ait pas encore un Kernel qui soit patché contre cette faille. Ceci est très probablement lié au fait  que le patch n’était pas disponible avant la plus récente mise jour Android.

Implications

En cas d’utilisation d’un programme de mobilité d'entreprise, un certain nombre d'appareils Android sont potentiellement vulnérables à une attaque d'espionnage grave. Les direction de systèmes informatiques doivent être conscientes que cette nouvelle vulnérabilité affecte leurs environnements Linux et les connexions serveur basées sur Linux (vers des sites populaires par exemple). En plus des appareils Android, les entreprises sont encouragées à vérifier si une partie du trafic de leurs services (par exemple, email) utilise des communications non chiffrées. Dans ce cas, des attaques ciblées pourraient accéder et manipuler des informations sensibles non chiffrées, y compris les emails, documents ou autres fichiers entreprise.

Que doit-on faire ?

• Pour patcher cette vulnérabilité les appareils Android doivent avoir leur Kernel Linux mis à jour. Il existe quelques solutions alternatives qu'un utilisateur peut utiliser jusqu'à ce que le patch soit sorti :
• Chiffrer les communications pour les empêcher d'être espionnées. Il faut pour cela s’assurer que les sites Web qui sont utilisés pour des recherches et les applications qui sont utilisées utilisent le HTTPS avec TLS.
• On peut également utiliser un VPN si on souhaite ajouter une étape supplémentaire de précaution.
• Si vous avez un appareil Android enraciné vous pouvez rendre une attaque plus difficile en utilisant l'outil sysctl et en remplaçant la valeur de net.ipv4.tcp_challenge_ack_limit par quelque chose de plus grand comme par exemple net.ipv4.tcp_challenge_ack_limit = 999999999
•  

Lookout n’a pas identifié à ce stade de PoCs exploitant cette nouvelle vulnérabilité et on peut s’attendre à ce que Google fasse le nécessaire pour patcher dans son prochain patch mensuel Android. En attendant, Lookout a prévu de continuer à surveiller la situation.

Pour les plus technos qui le désirent, ils peuvent vérifier si leur appareil est vulnérable en exécutant d'une adb shell la commande  Sysctl net.ipv4.tcp_challenge_ack_limit. Si le nombre rapporté est inférieur à 1000 (1000 est le nouveau numéro dans le patch) l’appareil Android concerné ne contient probablement pas le patch nécessaire.

Source : blog de Lookout