StrandHogg 2.0 - Vulnérabilité Android critique pourrait exposer les informations d’identification bancaires, SMS - Plus

OneSpan Team,

TechCrunch a rapporté aujourd’hui que l’une des vulnérabilités les plus graves incluses dans le Bulletin de sécurité Android (CVE-2020-0096) de mai 2020 pourrait permettre aux attaquants d’accéder aux données sensibles traitées ou générées par presque n’importe quelle application installée sur un appareil Android infecté. Il n’y a pas encore de cas connus de cette vulnérabilité exploitée dans la nature, mais comme vous pouvez l’imaginer, il ne pose un risque pour les applications de services financiers mobiles et les utilisateurs - affectant à la fois les dispositifs non incinérés et enracinés. Examinons ce que cette vulnérabilité signifie pour les développeurs d’applications de services financiers et ce qu’ils peuvent faire pour atténuer les risques pour leurs institutions et leurs utilisateurs finaux.

Qu’est-ce que StrandHogg 2.0 et quels dommages peut-il faire?

Strandhogg 2,0
Source de l’image: https://promon.co/strandhogg-2-0/

Les logiciels malveillants qui exploitent la vulnérabilité StrandHogg 2.0, découverts et divulgués par la société de sécurité Promon, peuvent se déguiser en autres applications installées sur le même appareil Android. Cette vulnérabilité est liée à la vulnérabilité originale de StrandHogg découverte fin 2019. Cependant, parce qu’il est plus difficile de détecter une attaque sur la vulnérabilité et peut être utilisé pour attaquer plusieurs applications simultanément, il est pensé pour être plus grave.

Voici pourquoi les banques doivent tenir compte des risques associés à StrandHogg 2.0 :

  1. Le malware peut demander des autorisations déguisées en une application légitime
  2. Si elle est autorisée, l’application malveillante peut accéder à des informations privées, y compris des messages SMS, des photos, un emplacement GPS, des conversations téléphoniques, et plus encore
  3. Lorsqu’un utilisateur lance une application légitime pour les services bancaires mobiles, le malware peut insérer un faux écran de connexion sur le dessus de cette application pour voler les informations d’identification d’un utilisateur

1.	Le malware peut demander des autorisations déguisées en une application légitime
Source de
-ERR:REF-NOT-FOUND- l’image: https://promon.co/strandhogg-2-0/

Par exemple, dites qu’un utilisateur télécharge une application de notification d’exposition/contact COVID-19 à partir du Google Play Store sur un appareil infecté par des logiciels malveillants qui exploite cette vulnérabilité. Lorsque l’utilisateur lance l’application COVID-19, le malware peut s’insérer dans cette session et demander des autorisations telles que le GPS et la messagerie. L’utilisateur peut se sentir à l’aise d’accorder ces autorisations à ce qu’il suppose est une application légitime alors qu’en fait, ils ont accordé ces positions à des logiciels malveillants.

Pour re-itérer, aujourd’hui il n’y a pas d’exemples connus de campagnes de logiciels malveillants exploitant cette vulnérabilité dans la nature. Cependant, cela pourrait changer. Les applications malveillantes exploitaient la vulnérabilité originale de StrandHogg à la fin de 2019 pour cibler les utilisateurs de services bancaires mobiles. Avec plus de détails sur StrandHogg 2.0 maintenant disponible, les attaquants peuvent itérer sur les campagnes précédentes pour augmenter leur efficacité.

StrandHogg 2.0 Impact: Toutes les versions Android vulnérables autres que Android 10

Avec un potentiel évident de dommages, la question suivante est de savoir quelle proportion de la population est exposée? Heureusement, Android 10 n’est pas affecté. Malheureusement, même pas 1 sur 10 utilisateurs Android ont mis à jour à Android 10. StandHogg 2.0 affecte toutes les autres versions d’Android (91,8% des appareils).

Voici un tableau pratique de montrer quel pourcentage d’utilisateurs utilisent des versions affectées de l’OS Android (une majorité) basé sur les données d’Android Studio en avril 2020.

pourcentage d’utilisateurs utilisent les versions affectées de l’OS Android

Oui, Google a émis des correctifs pour Android 8, 8.1, et 9 dans le cadre de l’Android Security Bulletin de mai 2020. Cependant, il n’y a aucune garantie que ces correctifs se rendront à chaque appareil mobile fonctionnant sous Android 8, 8.1 ou 9. Même alors, 40 pour cent des utilisateurs d’Android exécutent Android 7.1 ou plus tôt et restent vulnérables.

OK, je suis suffisamment surpris - Que puis-je faire pour protéger contre StrandHogg 2.0?

Tout d’abord, les utilisateurs d’Android devraient mettre à jour leur appareil à la dernière version Android. Malheureusement, selon le fabricant de l’appareil et le fournisseur de services/transporteur d’un utilisateur qui peut ne pas être possible. C’est pourquoi les développeurs d’applications et en particulier les développeurs d’applications de services financiers mobiles doivent prendre note.
Il n’existe aucun moyen fiable de connaître l’état de sécurité précis des appareils mobiles sur lesquels fonctionne votre application mobile. Les développeurs n’ont aucun moyen réel de savoir si l’appareil d’un utilisateur est criblé de vulnérabilités ou compromis par des logiciels malveillants. C’est pourquoi la cybersécurité avancée, comme le blindage des applications et la protection des temps d’exécution qui voyage avec l’application pour la défendre (et vos utilisateurs), même dans des conditions hostiles, est cruciale pour une approche complète et superposée de la sécurité des applications mobiles.

Blindage des applications mobiles
Livre blanc

Le blindage des applications mobiles : Comment réduire la fraude, économiser de l'argent et protéger les revenus

Découvrez comment le bouclier applicatif avec protection de l'exécution est essentiel pour développer une application bancaire mobile sécurisée et résiliente.

Télécharger maintenant

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.