Une 0day donne le contrôle complet de smartphones Android et elle est exploitée

Le par  |  2 commentaire(s)
Android sécurité

Une vulnérabilité 0day dans Android est exploitée pour obtenir le contrôle complet de smartphones vulnérables. Une correction antérieure a été " oubliée " au fil du temps.

Chercheuse en sécurité pour Project Zero, Maddie Stone publie une preuve de concept pour l'exploitation d'un bug 0day - non corrigé - affectant Android et permettant l'exécution de code arbitraire dans le noyau.

Il s'agit d'une vulnérabilité d'élévation de privilèges en local permettant donc une compromission complète d'un appareil vulnérable.

Android 10 logo 02

S'il y a une divulgation publique qui peut surprendre d'autant qu'elle émane de Project Zero de… Google, c'est parce qu'une exploitation dans la nature a été repérée, dont par des chercheurs du Threat Analysis Group (TAG) de… Google.

La vulnérabilité est référencée CVE-2019-2215. Maddie Stone explique que l'exploitation active a été attribuée - ou une vente - à NSO Group. Cette société israélienne a déjà fait parler d'elle à maintes reprises. Elle se présente comme un leader mondial dans le domaine de la cyberintelligence, l'acquisition et l'analyse de données.

Le nom de NSO Group est largement associé à Pegasus utilisé par des agences d'espionnage et gouvernementales. Le spyware Pegasus avait notamment été injecté dans des smartphones via un appel WhatsApp.

D'après Maddie Stone, si l'exploit est diffusé par le Web, il suffit de l'associer à un exploit pour le rendu parce que la vulnérabilité est accessible via la sandbox. Elle précise ne pas avoir à sa disposition un échantillon de l'exploit dans la nature. " Sans échantillon, nous n'avons pas pu confirmer ni la chronologie ni la charge utile. "

Un point intéressant est que la vulnérabilité avait été corrigée dans la version 4.4 (LTS) du noyau Linux fin 2017 mais sans CVE, ainsi que dans les versions 3.18, 4.4 et 4.9 du noyau Android. Un patch qui n'a étrangement pas suivi dans les versions ultérieures. Ce manquement ne devrait plus se produire avec l'attribution CVE.

La chercheuse de Project Zero souligne que le bug est exploitable sur les Pixel 1 et 2, mais pas les Pixel 3 et 3a. Reste que les modèles avec Android 8.x ou plus sont susceptibles d'être vulnérables. Elle a dressé une liste non exhaustive d'appareils vulnérables pour donner une idée : Huawei P20, Xiaomi Redmi 5A, Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, Oreo LG, Samsung S7, S8 et S9.

Le patch est désormais disponible sur Android Common Kernel et les partenaires Android de Google ont été informés. La mise à jour de sécurité Android d'octobre devrait être salvatrice.

La politique de Project Zero est de donner aux développeurs un délai de 90 jours pour un correctif avant la publication des détails d'une vulnérabilité découverte. S'il y a des exploitations actives, ce délai est raccourci et à seulement 7 jours si des actions urgentes sont requises. Ce délai raccourci a été appliqué pour la vulnérabilité CVE-2019-2215.

Comme souvent, ces publications peuvent paraître alarmistes. Il faut les pondérer avec un risque faible pour le commun des utilisateurs.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2079909
J'adore entre le titre alarmeur et la dernière phrase de l'article rassurante... Effectivement il faudrait pondérer les titres des articles...
Le #2079927
ben c'est alarmant au début(faut que les gens lisent )et c'est pondéré a la fin pour les calmer bref c'est comme pour tchernobyl ou la récente usine qui viens de cramer .....circuler y a rien a voir pour l'un la frontière a stoppé tout et pour l'autre pas de souci l'air est pur....
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme