Les systèmes d’exploitation regorgent de failles de sécurité plus ou moins sensibles et plus ou moins critiques. L’une d’elles vient d’être découverte par Project Zero, la branche de Google dédiée à la sécurité informatique, révélant la vulnérabilité de smartphones Android très populaires.
Découverte par la chercheuse Maddie Stone, cette faille 0-day (une faille n’ayant encore jamais été documentée ni corrigée) touche directement le noyau Linux d’Android et permet ainsi à l’attaquant de s’octroyer des privilèges sur le système jusqu’à en obtenir le contrôle total à distance. Cela permet même d’obtenir des droits root (administrateur), et donc de modifier les strates inférieures du système.
Des smartphones populaires
La faille en question est contenue dans les versions du noyau d’Android sorti avant avril 2018 et a été corrigée dans la version 4.14 LTS du noyau Linux, sorti en décembre 2017. Ce correctif n’a cependant été intégré que dans les noyaux 3.18, 4.4 et 4.9 d’Android.
Ainsi, de nombreux smartphones Android ont été commercialisés avec cette faille et TheHackerNews liste notamment 13 smartphones populaires :
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oppo A3
- Motorola Moto Z3
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Les appareils touchés ne se limitent néanmoins pas seulement à cette liste et on peut également citer par exemple tous les smartphones de LG sous Android 8 Oreo. Par ailleurs, cette faille touche même les dernières versions d’Android. Maddie Stone explique par exemple avoir réussi à l’exploiter sur un Pixel 2 sous Android 10 avec le patch de sécurité de septembre 2019.
Accessible via la sandbox de Chrome, cette faille peut donc être exploitée par une app ou une simple page Web et permet de gagner les droits en lecture et écriture sur le noyau du système. De quoi prendre le contrôle total et en toute discrétion d’un appareil.
Un patch en cours
Il a été découvert que cette faille a déjà été exploitée par l’entreprise de surveillance israélienne NSO Group, une société réputée pour trouver des failles de ce genre et pour les revendre aux gouvernements.
Déjà prévenu, Google s’apprête à déployer un correctif pour cette faille dans le patch de sécurité d’octobre 2019. Les constructeurs ont également été avertis de l’existence — et de l’importance — de cette faille, afin qu’ils puissent également mettre à jour leurs smartphones. Rien ne dit cependant qu’ils le fassent très rapidement.
Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !
Bientôt 10 ans à raison d'une par semaine qu'on nous pompe l'azur avec des failles critiques, majeure,sans droit de retour si ce n'est mortelles...... Marrant je dois être invincible :-)
Mon Rednote 5 tourne sous le noyau 4.4 avec les mises à jour (qui ne sont pas nouvelles) donc aucun pb.
Zavé ka développer leur os sur une base linux ça ne serait pas arrivé, épicétou 😊
Si on n'utilise pas chrome on ne risque pas d'attrapper le truc ?
La faille peut aussi être incluse dans une application, donc faut aussi faire gaffe à ce que tu installes
Pareil, je pourrais peut-être hacker mon propre téléphone pour désinstaller toutes les applis Google qui ne me servent pas!
On va enfin pouvoir rooter des Huawei peut être !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix