Les mainteneurs d’APKLeaks ont corrigé une vulnérabilité critique qui pourrait être exploitée pour l’exécution à distance de code arbitraire.
Créé par un ingénieur en sécurité basé en Indonésie Dwi Siswanto, APKLeaks est un logiciel open source permettant d’analyser les fichiers de package d’application Android (APK) à la recherche d’URL, de points de terminaison et de secrets. L’application est utilisée par FirmwareDroidune solution backend pour l’analyse du firmware Android.
Dans un conseil en sécurité publié sur GitHub le 21 janvier, les responsables du logiciel ont déclaré que la faille de sécurité « permet à des attaquants authentifiés à distance d’exécuter des commandes OS arbitraires via [the] nom du package dans le manifeste de l’application ».
CVSS escaladé
La vulnérabilité, décrite comme une neutralisation inappropriée des délimiteurs d’arguments, est suivie comme CVE-2021-21386 et a reçu un score de gravité CVSS de 9,3, une escalade à partir d’un score CVSS original de 7.3.
Signalé par le développeur ‘RyotaK‘ le 19 mars 2021, le problème de sécurité critique concerne un échec de la protection contre les attaquants émettant des arguments pouvant déclencher des commandes « involontaires », exécutant du code à distance, ou lisant ou falsifiant des informations sensibles.
L’avis note également la possibilité pour les attaquants de mener « d’autres comportements involontaires par [a] nom du paquet malveillant ».
Aucune authentification n’était requise pour exploiter la vulnérabilité.
Un correctif pour résoudre la faille publiée avec APKLeaks version 2.0.3 n’a pas réussi à résoudre complètement le problème. RyotaK a déclaré au Daily Swig que le correctif 2.0.4 résolvait correctement le problème dans la branche développeur du logiciel, suivi de v2.0.6-dev dans la branche master.
La gorgée quotidienne a contacté les développeurs du projet avec des questions supplémentaires et nous mettrons à jour si et quand nous recevrons une réponse.