Pc-urgence Une faille critique dans Android fragilise plusieurs smartphones - Pc-urgence

Une faille critique dans Android fragilise plusieurs smartphones

Les chercheurs de Google ont découvert une faille zero day sur Android. Elle touche plusieurs gammes de smartphones.

Plusieurs mobiles Android sont concernés par une faille zero-day, en cours d’exploitation. Les chercheurs de Google recommandent la prudence, jusqu’à la livraison, imminente, de la mise à jour de sécurité d’octobre.

D’après l’alerte lancée par l’équipe Project Zero de Google, une vulnérabilité zero day pourrait permettre à un pirate de prendre le contrôle total des Pixel, Pixel 2, Galaxy S9, Huawei P20, et de millions d’autres téléphone tournant sous Android. Pire encore, ils ont la preuve que la faille est activement exploitée.

Comme l’a remarqué en premier le site Ars Technica, le problème a d’abord été corrigé dans la mise à jour de sécurité de décembre 2017, mais une nouvelle analyse du code source semble indiquer que de nombreux mobiles sont « toujours vulnérables ». Dans la liste des mobiles à risque établie par Google, on trouve notamment les Google Pixel et Pixel 2, les Samsung Galaxy S7, S8 et S9, le Huawei P20, les Xiaomi Redmi 5A, Redmi Note 5 et A1, l’Oppo A3, le Moto Z3 et les mobiles de LG tournant sous Android 8 Oreo.

Une élévation de privilèges

Toujours selon Google, l’exploit « nécessite peu ou pas de personnalisation pour être efficace », mais il a besoin d’installer « une application malveillante » soit « à l’intérieur du bac à sable de Chrome », soit à partir d’une boutique d’application ou d’une source non fiable. Cela signifie que l’exploit ne peut pas être exécuté à distance. Donc, il est possible d’échapper à l’attaque en étant vigilant. Comme l’explique la chercheuse Maddie Stone, « la vulnérabilité permet une escalade des privilèges locaux et la prise de contrôle totale d’un périphérique vulnérable. Si l’exploit est livré via le web, il suffit de le coupler avec un exploit de rendu, puisque cette vulnérabilité est accessible via la sandbox ».

Google a raccourci la divulgation publique de 30 jours à 7 jours après avoir découvert que la faille était activement exploitée par le groupe NSO, un « groupe de développeurs d’exploits » réputé, qui agit depuis Israël. Comme l’explique Ars Technica, ce groupe est à l’origine du logiciel espion Pegasus apparu en 2016 sur les appareils mobiles. Dans un communiqué, Google a assuré qu’un correctif serait bientôt disponible : « Les mobiles Pixel 1 et 2 seront protégés par la mise à jour de sécurité d’octobre qui sera livrée dans les prochains jours. De plus, un patch a été mis à la disposition des partenaires afin de sécuriser l’écosystème Android ». Les pixels 3 et 3a ne sont pas affectés par l’exploit.

Même si la probabilité que cette vulnérabilité affecte votre mobile est assez faible, le mieux est d’éviter de télécharger des applications non fiables jusqu’à la disponibilité de la mise à jour de sécurité d’octobre.

Let’s block ads! (Why?)

Powered by WPeMatico

Dépannage informatique à domicile

Dépannage informatique à domicile

PC urgence, le spécialiste du dépannage informatique à domicile sur Paris et Île-de-France, jour et nuit vous bénéficiez d'un dépannage informatique sans aucun surcoût et sans frais de déplacements. Contactez-nous au 09.70.40.81.52.
Protected by Copyscape Web Plagiarism Tool

Laisser un commentaire

Vous devez être connecté pour publier un commentaire.

Elu Service de l'année

Prix:
2013

Rappel Gratuit

Prix:
GRATUIT

Ouvert 24/24

Ouvert 24/24 Week end
border
Un technicien chez vous
24/24 7/7

Elu Service de l'année

Prix:
2013

Dépannage informatique Paris et Ile de france

Dépannage informatique paris et ile de france
Prix:
89 €

Dépannage informatique Paris et Ile de france

Dépannage informatique paris et ile de france
Prix:
89 €
ACCUEIL    |    ACTUALITES    |    internet    |    accessoires et logiciels    |    contact
Claude Arel Retrouvez-nous sur Google+ Google Copyright © 2010-2013 Pc-Urgence