Les outils de migration d’appareils Android autorisent le clonage d’applications non autorisé

Les chercheurs ont trouvé de nombreuses applications dépourvues de validation des cookies de session lors du transfert de données entre appareils. Comme observé, cette vulnérabilité permet le clonage non autorisé d’applications par un adversaire de l’appareil de la victime vers son propre appareil via les outils de migration d’appareils Android.

Validation manquante dans de nombreuses applications Activer le clonage d’applications non autorisé sur Android

Selon un récent rapport de CloudSEK, leurs chercheurs ont observé un risque de sécurité sérieux pour les utilisateurs d’Android posé via des fonctionnalités de type clone de téléphone.

Comme expliqué, les chercheurs ont remarqué que de nombreuses applications manquaient de validation des cookies de session lors de la copie des données d’application sur d’autres appareils.

Le clonage d’applications est une fonctionnalité populaire sur les appareils Android. De nombreux fournisseurs, tels que Samsung, Realme et Oppo, proposent des outils de migration d’appareils intégrés pour aider les utilisateurs à transférer des applications et des données téléphoniques vers de nouveaux appareils.

Bien que pratique, l’absence inhérente de validation des cookies de session permet à un adversaire de cloner des applications par lui-même à l’insu de la victime. Cela nécessite simplement que l’attaquant ait un accès physique à l’appareil de la victime. Et si l’appareil cible ne dispose d’aucun verrou de sécurité, tel que des codes PIN ou une authentification biométrique, la copie d’applications sur un autre appareil ne prendra que quelques secondes.

Par exemple, les chercheurs ont mentionné WhatsApp comme exemple qui, une fois cloné, permet même à l’attaquant de contourner 2FA car les clés secrètes de WhatsApp sont copiées sur le nouvel appareil.

À ce stade, la seule façon pour un utilisateur de savoir si quelqu’un a sournoisement copié WhatsApp est d’utiliser WhatsApp Web, qui chargerait les messages des deux appareils. L’utilisateur peut rechercher tous les messages non reconnus envoyés depuis son compte. Cependant, cette méthode ne fonctionnera pas si l’attaquant supprime les conversations pertinentes.

Les chercheurs a démontré l’attaque en utilisant deux téléphones Realme, RMX2170 et RMX3660, et certains appareils Oneplus et Oppo, en utilisant des outils de migration intégrés, tels que Realme’s Clone Phone. Cependant, cette expérience n’a pas fonctionné sur les téléphones Samsung, indiquant la résistance de l’appareil à de telles attaques en un clic.

Liste des applications vulnérables au clonage malveillant :

Les chercheurs ont mentionné les applications les plus utilisées suivantes qui n’invalident pas les cookies de session.

• Toile
• BookMyShow
• Whatsapp
• Snapchat
• KhataLivre
• Télégramme
• Zomato
• Entreprise Whatsapp
• Strava
• LinkedIn
• Autoroute
• Blink IT
• Paiement futur – BigBazaar appartient désormais à Reliance
• Adani One
• Clash of Clans, Clash Royal (Supercellule)
• Discorde
• Booking.com

En ce qui concerne l’impact de telles attaques, les chercheurs mettent en évidence l’accès malveillant non autorisé aux comptes des victimes, entraînant des dommages financiers et des pertes de réputation, comme conséquences possibles.

Étant donné que cette attaque exploite généralement l’absence de fonctionnalité de sécurité clé dans les applications, la stratégie la plus viable pour l’empêcher est de sécuriser les appareils avec des verrous d’écran. De même, les chercheurs conseillent aux utilisateurs d’activer 2FA sur tous les comptes et de s’assurer de ne jamais laisser leurs appareils sans surveillance dans les lieux publics.

Faites-nous part de vos réflexions dans les commentaires.