Android menacé par une faille vieille de cinq ans ?
L’une des failles corrigées dans le dernier bulletin mensuel de sécurité d’Android est vieille de cinq ans. Qualcomm est impliqué dans l’affaire.
Matricule : CVE-2016-2060. Nature : faille de sécurité dans le composant radio de Qualcomm. Particularité : expose potentiellement des millions de terminaux Android à des vols de données par une attaque discrète.
Le dénommé Jake Valletta, chercheur pour la firme américaine FireEye, avait mis, il y a déjà plusieurs mois, le doigt sur cette vulnérabilité qui fait aujourd’hui l’objet d’une communication au public, Google l’ayant intégrée dans le dernier bulletin de sécurité mensuel pour son OS mobile.
La brèche s’est ouverte dès 2011. À l’époque, Qualcomm avait fourni une nouvelle API pour tirer parti des possibilités de son composant radio, plus particulièrement sur le tethering (exploitation en mode point d’accès Wi-Fi pour redistribuer une connexion Internet).
Dans ce cadre, le processus netd, issu de l’Android Open Source Project (AOSP), avait été modifié. Depuis lors, quand une nouvelle interface est ajoutée en amont, il n’en valide pas correctement le nom.
Or, ces noms invalides peuvent être utilisés comme arguments dans les commandes du système, comme le précise Qualcomm dans son alerte postée sur le forum CodeAurora.
Selon FireEye, qui avait notifié Qualcomm au mois de janvier, des centaines de modèles d’appareils sont susceptibles d’être concernés. D’autant plus que la quasi-totalité des versions d’Android sont affectées : la seule épargnée (6.0 « Marshmallow », la plus récente) est installée sur à peine 7,5 % des terminaux Android actifs dans le monde.
Google n’a pas pour autant classé la faille comme critique. Notamment parce qu’elle ne peut pas être exploitée à distance sans que l’utilisateur installe, au préalable, une application malveillante.
Ce n’est, d’après FireEye, pas si difficile qu’il paraît. D’une part, n’importe quelle application peut interagir avec l’API sans déclencher d’alertes. De l’autre, l’autorisation demandée l’est pas des millions d’autres apps, ce qui a peu de chances d’éveiller les soupçons de l’utilisateur. En outre, l’exploitation de la faille n’a pas d’impact particulier sur les performances de l’appareil, la rendant encore plus délicate à détecter.
Sur les plus anciennes versions d’Android, on peut non seulement accéder aux SMS et aux appels, mais aussi établir une connexion Internet et lancer n’importe quelle fonction permise par le composant radio.
Sur les moutures plus récentes, les possibilités sont plus limitées. Tout dépend en fait de la manière dont le constructeur « utilise le sous-système des propriétés systèmes », souligne Silicon.fr.
Reste, pour les constructeurs, à assurer la mise à jour… sachant que cela dépend aussi, pour les appareils liés à un forfait, de la politique de mise à jour des opérateurs.
Crédit photo : Creativa Images – Shutterstock.com