RSA Conference, San Francisco. Pourquoi s’embêter à chercher des failles Zero-Day quand une faille « Demi-Day » fera parfaitement l’affaire ? C’est en tout cas la conclusion d’une passionnante démonstration de piratage de smartphone Android menée lors de la conférence RSA par Dimitri Alperovitch et George Kurtz.

La faille « Demi-Day », un terme qu’ils ont inventé pour l’occasion, désigne une vulnérabilité connue mais non corrigée. Elle existe donc dans d’une fenêtre de temps variable, en fonction de l’efficacité du fournisseur concerné à produire un correctif. Avantage d’une telle vulnérabilité : elle coûte largement moins cher à acheter, au marché noir, qu’une véritable Zero-Day.

Afin de démontrer la prise de contrôle d’un téléphone Android, les deux consultants ont ainsi acheté un stock de 20 vulnérabilités pour Webkit, le moteur de rendu HTML utilisé, entre autre, par le navigateur d’Android. Cela leur a coûté 1400$. Ces vulnérabilités particulières ne fonctionnent certes qu’avec les versions 2.2 et 2.3 d’Android, mais celles-ci constituent encore une part importante des terminaux en circulation. Elles seront en outre aussi valable sous iPhone.

Il leur a fallu ensuite travailler à préparer et intégrer les vulnérabilités achetées. Kurtz et Alperovitch ont estimé que cette « weaponization » leur a coûté l’équivalent de 14.000$ de développement, réalisé en interne. Après quoi ils ont récupéré un autre exploit public pour Android, destiné à obtenir un accès root à partir des droits limités du navigateur (des droits dont ils disposeront après exécution de l’un des exploits « Demi-Day »). Il s’agit de Vold, dont les détails sont librement disponibles sur Internet.

Deux jours de travail supplémentaires ont enfin été nécessaires pour articuler l’ensemble, et faire notamment en sorte que tout fonctionne dans le contexte du navigateur web du terminal. Au final, l’attaque était prête après une dizaine de jour de développement et 1,400$ de budget (sans prendre en compte le coût du développement interne, qui demeure toutefois le poste plus élevé).

Les deux consultants ont ensuite démontré comment en utilisant un service d’usurpation de numéro de téléphone mobile, ils peuvent envoyer un SMS à leur victime, lui demandant de suivre une URL afin de mettre à jour certains paramètres de son téléphone et éviter ainsi une interruption de service. Le texto semble provenir de l’opérateur et avec un peu de chance la victime cliquera dessus…

A ce stade, un exploit hébergé sur une page web sous leur contrôle utilise l’un des « Demi-Day » disponible pour télécharger et exécuter l’autre exploit destiné à élever leurs privilèges. Le téléphone est désormais entièrement sous leur contrôle et ils peuvent lui ordonner d’aller télécharger l’élément final de l’attaque : le cheval de Troie NickiSpy, un malware pour mobile que l’équipe a récupéré sur des terminaux infectés et pour lequel elle a reconstruit un serveur de Command & Control.

Le fait que le trojan soit installé automatiquement et avec les droits administrateur du téléphone supprime toutes les demandes d’autorisation habituellement affichées par Android. L’opération est donc totalement invisible pour l’utilisateur. Seul indice éventuel : le terminal doit redémarrer, ce qui est provoqué automatiquement par les scripts des deux chercheurs.

NickiSpy offre alors aux attaquants le contrôle complet du téléphone : écoute et enregistrement des communications, activation du microphone pour écouter même hors de tout appel téléphonique, accès aux SMS, au carnet d’adresses et aux images, géo-localisation de son propriétaire…

Message reçu : une telle attaque est à la portée de n’importe quelle organisation (moins de 20 000 $ en faisant tout réaliser à l’extérieur).

(note : contrairement à ce que de nombreux médias ont indiqué, Dimitri Alperovitch et George Kurtz n’ont pas révélé de faille Zero-Day pour Android. Bien au contraire, leur attaque repose sur des vulnérabilités connues que l’on peut acheter au marché noir)