0-day de Linux : Google relativise l'impact sur Android

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités 0-day de Linux : Google relativise l'impact sur Android

Publié le 22 janvier 2016 à 10:30 par Jérôme G.

Lire sur mobile

Alors que les patchs arrivent, Google - qui n'avait pas été mis dans la confidence - estime que peu de terminaux Android sont vulnérables en raison de la 0-day dans le noyau Linux découverte par Perception Point.

En début de semaine, Perception Point a dévoilé l'existence d'une vulnérabilité 0-day présente dans le noyau Linux et affectant des " dizaines de millions de PC et serveurs Linux " (32 et 64 bits), ainsi que " 66 % de tous les smartphones et tablettes Android. "

Présente au niveau du service keyrings facility, la faille semblait présenter un risque tout relatif avec des distributions Linux car assimilable à une vulnérabilité de type élévation de privilège en local. L'alerte était par contre plus problématique pour Android.

Comme l'équipe de sécurité Linux a été prévenue en amont de la divulgation par Perception Point, la correction de la vulnérabilité n'a pas traîné pour la plupart des distributions. Google a par contre un peu de mal à avaler la pilule.

Ingénieur en chef pour la sécurité Android chez Google, Adrian Ludwig souligne que l'équipe de sécurité d'Android n'a pas été mise au courant de la vulnérabilité avant sa publication. Il minimise par ailleurs le nombre d'appareils Android qui seraient vulnérables.

Le compte serait loin des deux tiers des terminaux Android. Perception Point a basé son estimation sur une présence du problème dans le noyau Linux à partir de la version 3.8. Des versions du kernel qui peuvent se retrouver sur des terminaux avec Android 4.4 KitKat ou plus, d'où le taux des 66 % qui est fonction du taux d'adoption des différentes versions d'Android.

Sauf que pour Google, cette estimation ne tient pas la route. Aucun appareil Nexus ne serait vulnérable à une exploitation par des applications tierces. Par ailleurs, tous les appareils avec Android 5.0 Lollipop ou plus bénéficient de la protection Android SELinux qui empêcherait des applications tierces d'atteindre le code vulnérable.

Quant aux terminaux sous Android 4.4 (et a fortiori une version antérieure), Google assure que beaucoup d'entre eux ne contiennent pas le code vulnérable introduit dans le noyau Linux 3.8. " Les nouvelles versions du noyau sont peu courantes sur d'anciens appareils Android. "

Perception Point avait déjà évoqué le cas de la protection avec le module SELinux sur les appareils Android qui rend une exploitation plus difficile mais pas forcément impossible à ses yeux. Un point pour lequel Perception Point est désormais en contact avec Google qui n'est manifestement pas du même avis.

Google a déjà préparé un correctif diffusé dans Android Open Source Project et auprès de ses partenaires. Le correctif arrivera sur les appareils dans une mise à jour de sécurité du 1er mars prochain mais comme à chaque fois, ce sera à la discrétion des fabricants. C'est peut-être cela le véritable problème...