Les smartphones Android sous Lollipop, Marshmallow et Nougat sont vulnérables à une attaque qui exploite le service MediaProjection pour capturer l’écran de l’utilisateur et enregistrer le son du système.
Plus des trois quarts des téléphones Android sont vulnérables à une attaque capable de capturer l’écran de l’utilisateur et enregistrer le son du système. En exploitant le service MediaProjection, un attaquant peut facilement amener un utilisateur à accorder les droits appropriés à une application malveillante.
Bien que la vulnérabilité ait été corrigée dans Android 8 (Oreo), les utilisateurs de Lollipop, Marshmallow ou Nougat restent des victimes potentielles. MediaProjection est, par sa conception, capable de capturer l’activité de l’écran et l’audio, a des fins légitimes, mais en utilisant une technique connue sous le nom de tap-jacking, une permission peut être donnée pour que le service soit utilisé d’une façon plus néfaste.
Comme noté par BleepingComputer, le service s’appuie sur les popups « d’autorisation » pour informer les utilisateurs que leur écran ou audio va être enregistré. Mais les chercheurs en sécurité de MWR Labs ont trouvé qu’il était possible de masquer ces popups en quelque chose de différent en y superposant du texte. De cette façon, il serait possible de suggérer à un utilisateur qu’il clique sur quelque chose d’innocent alors qu’en réalité, il s’ouvre à une surveillance de la parts de pirates.
Un rapport de MWR Labs explique:
« Pour utiliser le service MediaProjection, une application devrait simplement demander l’accès à ce service système via une intention. L’accès à ce service du système est accordé en affichant une fenêtre contextuelle SystemUI qui avertit l’utilisateur que l’application demandeuse souhaite capturer l’écran de l’utilisateur.
Il a été découvert qu’un attaquant pouvait superposer cette pop-up SystemUI qui avertit l’utilisateur que le contenu de son écran va être capturé, avec un message banal pour tromper l’utilisateur en lui donnant la possibilité de capturer l’écran de l’utilisateur. »
Le problème avec MediaProjection est qu’il ne dépend pas de l’autorisation, ce qui rend difficile de déterminer si une application va utiliser le service. Alors qu’Oreo corrige le problème, MWR Labs souligne que 77,5% des appareils Android actifs restent vulnérables.
La seule vraie solution pour le moment est de passer à Oreo, mais ce n’est évidemment pas une option pour tout le monde. MWR Labs offre les conseils suivants:
« Cependant, cette attaque n’est pas entièrement indétectable. Lorsqu’une application accède au service MediaProjection, elle génère un écran virtuel qui active l’icône de screencast dans la barre de notification. Si les utilisateurs voient une icône de screencast dans la barre de notification de leur appareil, ils doivent examiner l’application/le processus en cours d’exécution sur leurs appareils. »
