Android : le Bluetooth est victime d’une énorme faille de sécurité, mettez votre smartphone à jour !

 

Une énorme faille de sécurité a été découverte dans la fonctionnalité Bluetooth d’Android. Cette faille peut permettre à des pirates à proximité de voler des données personnelles et propager des malware sans qu’aucune action de l’utilisateur ne soit requise. Google a corrigé cette faille dans son patch cumulatif de février 2020.

Smartphone Android
Crédits : Pixabay

Le spécialiste allemand de la cybersécurité ERNW ont découvert une grave faille de sécurité dans la prise en charge du Bluetooth par certaines versions d’Android. A cause de cette faille, des pirates et autres personnes malveillantes à proximité peuvent parvenir à se connecter à un smartphone et extraire des données personnelles, voire installer des malware (short distance worm), sans que la victime n’ait à confirmer quoi que ce soit sur son écran. En fait il suffit que la victime tourne sous les bonnes versions d’Android, et que le Bluetooth soit activé pour que l’attaque puisse être menée à son terme.

Les pirates ne peuvent également mener leur attaque sans l’adresse MAC du module Bluetooth. Cependant, notent les chercheurs, il est possible de déduire assez facilement cette adresse à partir de l’adresse MAC du module WiFi autrement plus facile à obtenir. Les chercheurs d’ERNW rapportent que la présence de cette faille a été vérifiée dans Android Oreo 8.0 et Pie 9.0, mais « des versions d’Android même antérieures à 8.0 peuvent également être touchées mais nous n’en avons pas évalué l’impact », précisent les chercheurs.

Mise à jour indispensable dès que possible

En revanche, si vous êtes sous Android 10 vous êtes relativement en sécurité : « sur Android 10 cette vulnérabilité n’est pas exploitable pour des raisons techniques et résulte seulement dans un crash du démon Bluetooth ». Notez que le fait que le bluetooth soit désormais activé par défaut sur les dernières versions d’Android aggrave les risques potentiels autour de cette faille. Le bug a été signalé en amont à Google et porte la référence CVE-2020-0022. Google a corrigé le problème dans son patch de sécurité cumulatif de février.

Le constructeur de votre smartphone devrait rapidement proposer une mise à jour de sécurité qui devrait colmater la faille. Si votre constructeur ne la propose pas encore, les chercheurs de ERNW recommandent de prendre les précautions suivantes :

  • N’activez le Bluetooth que lorsque nécessaire et préférez utiliser la connexion filaire si vous utilisez un casque
  • Sortez votre appareil du mode découverte Bluetooth si celui-ci est actif

Lire également : Malware Android – désinstallez ces 24 applications du Play Store, elles vous espionnent !

Pour l’heure, les chercheurs expliquent attendre qu’un maximum d’utilisateurs aient pu installer le patch pour publier des détails plus techniques sur l’exploitation de cette faille.



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
android google failles
Android : Google corrige 33 failles de sécurité en novembre 2020

Google vient de lancer le déploiement du patch de sécurité Android du mois de novembre 2020. Avec ce nouveau correctif, la firme de Mountain View corrige un total de 33 failles de sécurité identifiées dans le code de son OS…

tiktok avast adware jeune fille
Android, iOS : Avast découvre 7 nouveaux malwares grâce à une fillette

Sept applications malveillantes ont été repérées sur le Google Play Store et sur l’App Store. Téléchargées plus de 2,4 millions de fois, elles  bombardent l’utilisateur de publicités et le facturent avec des achats in-app inutiles. Fait incroyable, les chercheurs d’Avast…

android failles google corrige septembre
Android : Google corrige 52 failles de sécurité en septembre 2020

Android souffre d’un total de 52 failles de sécurité, annonce Google dans son traditionnel bulletin mensuel. Bien décidé à protéger les utilisateurs contre les malwares et les pirates, le géant américain a lancé le déploiement d’un patch correctif sur tous…