Toolinux Linto.AI OpenPAAS OBM Hubl.IN Linagora

Une faille Linux encombre Android

jeudi 18 août 2016

Des chercheurs de l’Université de Californie, Riverside et du Laboratoire de Recherche de l’Armée Américaine ont récemment révélé une vulnérabilité dans le TCP lors de la conférence USENIX Security 2016, portant spécifiquement sur les systèmes Linux. Cette vulnérabilité permet à un attaquant d’espionner à distance toutes personnes qui utilisent du trafic non chiffré ou de pouvoir dégrader des connexions cryptées. Bien qu’une attaque Man-in-the-middle ne soit pas nécessaire, l’attaquant doit quand même connaître connaître une adresse IP source et sa destination pour pouvoir exécuter et réussir son attaque.

On peut estimer que toutes versions Android exécutant le noyau Linux 3.6 (approximativement 4.4 Android KitKat) sont vulnérables à cette attaque... soit 79,9 % de l’écosystème Android.

Cette vulnérabilité a été attribuée un CVE-2.016 à 5.696, qui correspond à un niveau de gravité moyen. Bien que l’exploitabilité d’une telle faille ne soit pas simple, le risque existe, surtout pour les attaques ciblées.

Un correctif Linux a été rédigé le 11 juillet dernier. Cependant, après vérification, il apparaît que la dernière version développeur d’Android Nougat, n’a pas encore un noyau immunisé contre cette faille. Ceci est très probablement lié au fait que le patch n’était pas disponible avant la plus récente mise jour Android.

Si vous avez un appareil Android « rooté », vous pouvez rendre une attaque plus difficile en utilisant l’outil sysctl et en remplaçant la valeur de net.ipv4.tcp_challenge_ack_limit par quelque chose de plus grand comme par exemple net.ipv4.tcp_challenge_ack_limit = 999999999

Lookout n’a pas identifié à ce stade de PoCs exploitant cette nouvelle vulnérabilité et on peut s’attendre à ce que Google fasse le nécessaire pour patcher dans son prochain patch mensuel Android. En attendant, Lookout a prévu de continuer à surveiller la situation.

Pour les plus technos qui le désirent, ils peuvent vérifier si leur appareil est vulnérable en exécutant d’une adb shell la commande Sysctl net.ipv4.tcp_challenge_ack_limit. Si le nombre rapporté est inférieur à 1000 (1000 est le nouveau numéro dans le patch) l’appareil Android concerné ne contient probablement pas le patch nécessaire.

- source