Des experts en sécurité de Google Project Zero ont découvert une vulnérabilité critique affectant le système d’exploitation mobile Android. Celle-ci permet d’obtenir un contrôle total sur au moins 18 modèles de téléphones, dont 4 versions de Pixel.
Un membre du groupe de recherche de Google Project Zero, Pierre Maddie, a publié dans un post, ce jeudi 3 octobre, les détails d’une vulnérabilité zero-day à haut risque sur Android.
Selon le chercheur, elle réside dans le noyau de l’OS et peut potentiellement autoriser un attaquant à élever ses droits afin d’avoir un accès root à l’appareil. La vulnérabilité peut être exploitée à l’aide d’un kit d’exploit par le biais d'une application non sécurisée ou d'une vulnérabilité dans le code du navigateur Chrome.
“Le bogue est une vulnérabilité d'élévation de privilèges locaux qui permet de prendre le contrôle total à distance d’un appareil vulnérable”, précise Pierre Maddie.
Pour l’heure, l’équipe de Google a publié une liste “non exhaustive” de 18 modèles de smartphones vulnérables à cette attaque : Pixel 1/1XL, Pixel 2/2XL, Huawei P20, Xiaomi Redmi 5A/Note 5/A1, Oppo A3, Motorola Z3, LG Oreo et Samsung S7/S8/S9. À noter que les modèles Pixel 3 et 3A ne sont pas affectés.
Une vulnérabilité activement exploitée
Pierre Maddie indique dans son rapport que l’équipe de Project Zero a trouvé des preuves qui établissent que cette faille serait activement exploitée par l’ONS Group (une société basée en Israël connue pour vendre des kits d’exploits et des outils de surveillance) ou l’un de ses clients.
Un autre membre de l’équipe de Project Zero a déclaré dans le même post que la vulnérabilité sera patchée pour les modèles Pixel de Google concernés lors de la mise à jour d’Android du mois d’octobre devant être diffusée dans les prochains jours. Les autres fabricants ont été informés de la mise à disposition des correctifs dans le noyau d’Android.
Source : Cette information et actualité qui a suscité notre intérêt, a été publiée sur le site lesnumeriques.com que nous remercions. il nous a semblé pertinent de vous en faire profiter.