Android: un E-mail maveillant peut faire crasher l'app Gmail

Un chercheur espagnol a découvert que certaines versions d'Android avec l'application Gmail sont affectés par une faille qui peut être exploitée afin de crasher l'application mobile.

Selon le chercheur en sécurité Hector Marco certaines versions de l'application Gmail pour Android sont affectés par une vulnérabilité (CVE-2015-1574) qui peut être exploitée par des attaquants afin de crasher l'application. Il ne sera pas écrit de nouvelle concernant la présence de la faille sur d'autres systèmes d'exploitation mobiles comme iOS.

L'expert a expliqué que l'attaquant peut exécuter à distance une attaque DDoS contre un utilisateur d'Android sur l'application Gmail en lui envoyant un émail spécialement conçu. Toute tentative d'ouverture de l'E-mail déclenche un crash de l'application Gmail.

Quand la victime reçoit le courrier électronique malveillant, l'application crash en essayant de télécharger l'E-mail. Toute tentative d'ouvrir de nouveau le courrier électronique déclenche un crash avant que l'utilisateur ne puisse faire quoi que ce soit . L'application de courrier électronique est inutilisable tant que le courrier électronique malveillant n'est enlevé, " a rapporté Marco dans un article de blog

Le chercheur a réussi à exploiter la vulnérabilité sur son Samsung Galaxy S4 Mini exécutant la version 4.2.2.0200 , il a expliqué que le bug semble affecter toutes les versions plus anciennes sur Android, même si les appareils fonctionnant avec la version 4.2.2.0400 ou des versions plus récentes ne sont pas affectés.

L'effet d'une attaque peut être très ennuyeux pour un utilisateur car le meilleur moyen de rétablir une situation normale est de supprimer l'e-mail malveillant de l'application d'email. Pensez aussi que cette opération ne représente qu'une solution temporaire parce que l'attaquant peut envoyer un grand nombres de courriels malveillants.

"Du fait que l'application se bloque immédiatement, il peut être délicat de supprimer l'E-mail malveillant . Le moyen le plus simple et facile pour l'enlever est d'utiliser un autre client de messagerie (ou via le web) à partir de la boîte de réception sur le serveur de messagerie. Une autre solution est de désactiver la connexion internet (mode Avion) avant de lancer le lecteur de courrier électronique, puis vous pouvez supprimer l’E-mail incriminé ", a t-il ajouté.

L'expert a expliqué que le défaut est causé par une mauvaise manipulation de l'entête Content-Disposition, il a découvert que pour exploiter la faille, il suffit d'envoyer un e-mail avec un en tête Content-Disposition mal formé pour causer le crash de l'application.

L'en-tête modifié qui n'inclut pas de paramètres pour provoquer l'accident est:

Content-Disposition: ;

Au lieu de

 Content-Disposition: attachment; filename=genome.jpeg;

tel que spécifié dans RFC2183

Le chercheur a publié le code dans une preuve de concept (PoC) pour la démonstration, Marco a fourni un code d'exploitation en python avec l'instruction d'envoyer un E-mail spécialement conçu à un utilisateur ciblé.
Pour exploiter cette vulnérabilité affectant l'application Gmail, l'attaquant doit envoyer un E-mail à la victime avec un vide Content-Disposition suivie par un point-virgule. Le script publié par le chercheur qui a exécuté l'attaque.

Email Android Google 4.2.2.0200 crasher
=======================================
Author:  Hector Marco <hmarco@hmarco.org>
Website: http://hmarco.org

$ ./crash_Android_Google_email_4.2.2.0200.py -s sender@email.com -r receiver@email.com
[+] Sending crafted message to: receiver@email.com
[+] Malicious email successfully sent.

Pour corriger la vulnérabilité sur l'app Gmail sur Android les utilisateurs touchés peuvent mettre à jour leur application de messagerie Android vers 4.2.2.0400 ou supérieur. Malheureusement, la mise à niveau des applications n'est pas possible dans toutes les versions Android.
Par exemple, le Samsung Galaxy Mini 4 entièrement mis à jour (17 janvier 2015) est vulnérable à cette attaque et pas les versions supérieures à 4.2.2.0200 qui sont disponibles après la mise à jour du système de «mises à jour de logiciels».
Les mises à jour manuelles sont possibles pour les Android non officiel, mais dans certains cas cela nécessitent les privilèges root sur votre appareil et dans la plupart des cas, une probable perte de la garantie de l'appareil. », A déclaré Marco.

Source: Securityaffairs

Comments

[Actualité]

Je penses avoir été victime de ce malware... j'ai dû sauvegarder mes données et formater mon Samsung... :o\

[Informatique téléphonie]

Une raison de plus de faire attention à n’ouvrir n’importe quel e-mail qu’après vérification de l’envoyeur. Sachant que les smartphones sous Android sont désormais les préférés des pirates informatiques, il vaut mieux consulter sa boîte de réception e-mail sur un ordinateur que sur son téléphone.