Google, Samsung, Huawei, Xiaomi… : des millions de smartphones ciblés par une grave faille 0-Day

Des millions de smartphones Google Pixel, Samsung, Huawei, Xiaomi, Oppo, Motorola et LG sont visés par une nouvelle faille 0-day. Celle-ci est particulièrement dangereuse, car elle permet à un attaquant d’obtenir les privilèges root et d’exécuter du code à distance – il n’a pour cela pratiquement pas besoin de changer le code d’un modèle à l’autre. 

Une nouvelle faille 0-day crirtique vient d’être découverte sur Android par le Project Zero. Cette faille est très grave, car elle permet une élévation de privilèges root sur les smartphones touchés. Par ailleurs, elle touche des millions de smartphones populaires sous Android 8.x ou ultérieur. Ce n’est pas la première fois que ce bug a été découvert. Il était d’ailleurs censé être patché dans les versions du kernel 3.18, 4.4 et 4.9. Mais il refait surface.

Google, Samsung, Huawei, Xiaomi… : découverte d’une nouvelle faille 0-day critique

Il n’est pas forcément possible pour l’attaquant d’exécuter du code à distance via cette seule faille. Mais les chercheurs expliquent que de potentiels pirates peuvent combiner cette faille avec d’autres sans trop de difficulté pour prendre le contrôle total d’un appareil. Par exemple, cela peut intervenir lors du téléchargement d’un APK hors du Play Store, ou en exploitant des vulnérabilités de Google Chrome pour Android.

Plus grave, cette faille est activement utilisée par NSO Group, une firme israélienne qui développe des solutions d’espionnage en lien avec des gouvernements. Selon les chercheurs, cette faille vise principalement la liste des smartphones suivants :

  • Pixel 2 avec Android 9 ou Android 10 preview 
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Smartphones LG sous Oreo
  • Samsung Galaxy S7, S8, S9

Les chercheurs précisent néanmoins que cette liste n’est pas exhaustive. Comme toujours, Project Zéro a fourni en amont les données de sa découvertes aux responsable du projet AOSP. Mais pour l’heure il n’existe pas encore de patch pour corriger le problème. L’équipe d’Android explique dans un communiqué : « nous en avons notifié nos partenaires Android et le patch est disponible sur le Android Common Kernel. Les appareils Pixel 3 et 3a ne sont pas vulnérables tandis que les Pixel 1 et 2 recevront des mises à jour autour de ce problème dans le patch d’octobre ».

Lire également : Android – ce malware a volé l’argent de 800 000 comptes en banque depuis 2016

En l’absence de patch, il est seulement possible de réduire les risques : évitez donc d’installer des applications hors du Play Store et utilisez un navigateur alternatif à Google Chrome comme Firefox ou Opera, jusqu’à ce qu’un correctif soit disponible pour votre appareil.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Sécurité : Huawei subirait un million de cyberattaques par jour

D’après le chef de la sécurité de Huawei, l’entreprise repousserait une quantité impressionnante d’attaques informatiques. Des attaques à travers le monde entier, et des autorités américaines qui n’y seraient pas étrangères, selon l’entreprise. Si Huawei doit faire face à l’ire…

WhatsApp : un simple GIF permet de pirater votre smartphone

Une faille découverte dans l’application WhatsApp et qui affecte les smartphones Android permet d’accéder à vos photos privées et autres données personnelles. Il suffit d’un GIF modifié pour exploiter cette vulnérabilité qui vient d’être découverte par un chercheur en sécurité….

Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…