Google, Samsung, Huawei, Xiaomi… : des millions de smartphones ciblés par une grave faille 0-Day
Des millions de smartphones Google Pixel, Samsung, Huawei, Xiaomi, Oppo, Motorola et LG sont visés par une nouvelle faille 0-day. Celle-ci est particulièrement dangereuse, car elle permet à un attaquant d'obtenir les privilèges root et d'exécuter du code à distance – il n'a pour cela pratiquement pas besoin de changer le code d'un modèle à l'autre.
Une nouvelle faille 0-day crirtique vient d'être découverte sur Android par le Project Zero. Cette faille est très grave, car elle permet une élévation de privilèges root sur les smartphones touchés. Par ailleurs, elle touche des millions de smartphones populaires sous Android 8.x ou ultérieur. Ce n'est pas la première fois que ce bug a été découvert. Il était d'ailleurs censé être patché dans les versions du kernel 3.18, 4.4 et 4.9. Mais il refait surface.
Google, Samsung, Huawei, Xiaomi… : découverte d'une nouvelle faille 0-day critique
Il n'est pas forcément possible pour l'attaquant d'exécuter du code à distance via cette seule faille. Mais les chercheurs expliquent que de potentiels pirates peuvent combiner cette faille avec d'autres sans trop de difficulté pour prendre le contrôle total d'un appareil. Par exemple, cela peut intervenir lors du téléchargement d'un APK hors du Play Store, ou en exploitant des vulnérabilités de Google Chrome pour Android.
Plus grave, cette faille est activement utilisée par NSO Group, une firme israélienne qui développe des solutions d'espionnage en lien avec des gouvernements. Selon les chercheurs, cette faille vise principalement la liste des smartphones suivants :
- Pixel 2 avec Android 9 ou Android 10 preview
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oppo A3
- Moto Z3
- Smartphones LG sous Oreo
- Samsung Galaxy S7, S8, S9
Les chercheurs précisent néanmoins que cette liste n'est pas exhaustive. Comme toujours, Project Zéro a fourni en amont les données de sa découvertes aux responsable du projet AOSP. Mais pour l'heure il n'existe pas encore de patch pour corriger le problème. L'équipe d'Android explique dans un communiqué : “nous en avons notifié nos partenaires Android et le patch est disponible sur le Android Common Kernel. Les appareils Pixel 3 et 3a ne sont pas vulnérables tandis que les Pixel 1 et 2 recevront des mises à jour autour de ce problème dans le patch d'octobre”.
Lire également : Android – ce malware a volé l'argent de 800 000 comptes en banque depuis 2016
En l'absence de patch, il est seulement possible de réduire les risques : évitez donc d'installer des applications hors du Play Store et utilisez un navigateur alternatif à Google Chrome comme Firefox ou Opera, jusqu'à ce qu'un correctif soit disponible pour votre appareil.
