Avec un score CVSS (v3) de 5,9, la vulnérabilité identifiée en tant que CVE-2016-5696 a un indice de gravité moyen. Pourtant, elle fait largement parler d'elle dans la mesure où cette faille au niveau de l'implémentation du protocole TCP dans le noyau Linux affecte une très large gamme d'appareils Android.
Dévoilée par des chercheurs de l'université de Californie, Riverside et du Laboratoire de recherche de l'US Army, la vulnérabilité est présente dans le noyau Linux depuis sa version 3.6 datant de 2012. Elle a été corrigée en juillet dernier avec un patch pour le noyau Linux 4.7 (la version stable actuelle).
Son exploitation ne nécessite pas une compromission du réseau via une attaque de type man-in-the-middle. Elle permet à un attaquant d'espionner à distance, interrompre des communications voire injecter des données si elles ne sont pas chiffrées et à la condition qu'il connaisse une adresse IP source et sa destination.
Le problème est en rapport avec un type de paquet appelé Challenge ACK nécessitant l'envoi d'une réponse basée sur un nombre secret et une limite globale fixée sur les paquets de contrôle TCP. Le cas échéant et à défaut de patch, une mesure de contournement consiste à augmenter la valeur de net.ipv4.tcp_challenge_ack_limit et par exemple opter pour 999999999 (dans /etc/sysctl.conf).
La société de sécurité mobile Lookout met l'accent sur le fait que la faille TCP impacte près de 80 % des appareils Android, soit de l'ordre de 1,4 milliard d'appareils qui sont donc basés sur un noyau Linux à partir de la version 3.6 (depuis KitKat). Reste que l'exploitation est considérée complexe et surtout dans l'optique d'attaques ciblées.
Lookout précise avoir vérifié que la dernière version de développement d'Android Nougat ne contient pas encore le noyau avec le patch idoine. Cela ne devrait pas tarder, tout comme un correctif dans les mises à jour de sécurité mensuelles d'Android. Pour l'équipe de sécurité Android de Google, la vulnérabilité est également considérée avec un risque modéré (pas élevé ou critique).
