Cette faille est inquiétante pour les utilisateurs Android car les attaquants sont
mesure d’exécuter cette manipulation d’espionnage sans avoir recours à une
attaque plus traditionnelle de type "man-in-the-middle" qui permet de compromettre
le réseau afin d’en intercepter le trafic.

Des chercheurs de l’Université de Californie, Riverside et du Laboratoire de
Recherche de l’Armée Américaine ont récemment révélé une vulnérabilité
dans le TCP lors de la conférence USENIX Security 2016, portant spécifiquement sur
les systèmes Linux. Cette vulnérabilité permet à un attaquant d’espionner à
distance toutes personnes qui utilisent du trafic non chiffré ou de pouvoir
dégrader des connexions cryptées. Bien qu’une attaque Man-in-the-middle ne soit
pas nécessaire, l’attaquant doit quand même connaître connaître une adresse IP
source et sa destination pour pouvoir exécuter et réussir son attaque.

On peut estimer que toutes versions Android exécutant le noyau Linux 3.6
(approximativement 4.4 Android KitKat) sont vulnérables à cette attaque soit 79,9
% de l’écosystème Android.

Cette vulnérabilité a été attribuée un CVE-2.016 à 5.696, qui correspond à un
niveau de gravité moyen. Bien que l’exploitabilité d’une telle faille ne soit
pas simple, le risque existe, surtout pour les attaques ciblées.

Un patch Linux a été rédigé le 11 Juillet, 2016. Cependant, après
vérification, il apparaît que la dernière version développeur d’Android Nougat,
n’ait pas encore un Kernel qui soit patché contre cette faille. Ceci est très
probablement lié au fait que le patch n’était pas disponible avant la plus
récente mise jour Android.

Implications

En cas d’utilisation d’un programme de mobilité d’entreprise, un certain nombre
d’appareils Android sont potentiellement vulnérables à une attaque d’espionnage
grave. Les direction de systèmes informatiques doivent être conscientes que cette
nouvelle vulnérabilité affecte leurs environnements Linux et les connexions
serveur basées sur Linux (vers des sites populaires par exemple). En plus des
appareils Android, les entreprises sont encouragées à vérifier si une partie du
trafic de leurs services (par exemple, email) utilise des communications non
chiffrées. Dans ce cas, des attaques ciblées pourraient accéder et manipuler des
informations sensibles non chiffrées, y compris les emails, documents ou autres
fichiers entreprise.

Que doit-on faire ?

Pour patcher cette vulnérabilité les appareils Android doivent avoir leur Kernel
Linux mis à jour. Il existe quelques solutions alternatives qu’un utilisateur peut
utiliser jusqu’à ce que le patch soit sorti :

Chiffrer les communications pour les empêcher d’être espionnées. Il faut pour
cela s’assurer que les sites Web qui sont utilisés pour des recherches et les
applications qui sont utilisées utilisent le HTTPS avec TLS.

On peut également utiliser un VPN si on souhaite ajouter une étape
supplémentaire de précaution.

Si vous avez un appareil Android enraciné vous pouvez rendre une attaque plus
difficile en utilisant l’outil sysctl et en remplaçant la valeur de
net.ipv4.tcp_challenge_ack_limit par quelque chose de plus grand comme par exemple
net.ipv4.tcp_challenge_ack_limit = 999999999

Lookout n’a pas identifié à ce stade de PoCs exploitant cette nouvelle
vulnérabilité et on peut s’attendre à ce que Google fasse le nécessaire pour
patcher dans son prochain patch mensuel Android. En attendant, Lookout a prévu de
continuer à surveiller la situation.

Pour les plus technos qui le désirent, ils peuvent vérifier si leur appareil est
vulnérable en exécutant d’une adb shell la commande Sysctl
net.ipv4.tcp_challenge_ack_limit. Si le nombre rapporté est inférieur à 1000
(1000 est le nouveau numéro dans le patch) l’appareil Android concerné ne
contient probablement pas le patch nécessaire.