La sécurité du système d’exploitation Android est une source régulière d’inquiétude et mobilise constamment l’attention des spécialistes, qui scrutent sans relâche l’OS open source porté par Google afin d’y déceler des vulnérabilités.
Si celles-ci ne manquent pas — les récents correctifs publiés par la firme de Mountain View sont là pour le prouver –, elles sont néanmoins corrigées avec une relative célérité. Toutefois, une faille repérée depuis un certain temps est parvenue à passer entre les mailles du filet. Et pour ne rien arranger, celle-ci s’avère très sérieuse.
Toute la gamme Nexus est concernée
Depuis 2014, une vulnérabilité permettait à une application d’accéder aux privilèges root sur un grand nombre de téléphones Android, dont toute la gamme Nexus. Sur un téléphone rooté, il est possible d’accéder au contrôle total du système d’exploitation et ainsi effectuer des actions normalement bloquées par le constructeur pour des raisons de sécurité.
En l’occurrence, avec cette brèche, une application pouvait accéder à des fonctionnalités bloquées de l’OS et installer du code malveillant. « Une vulnérabilité du noyau qui permet l’élévation des privilèges pourrait permettre à une application nuisible d’exécuter du code arbitraire [sans l’accord du propriétaire, nlr] dans le noyau », explique Google.
Les noyaux Linux 3.4, 3.10 et 3.14 sont touchés, mais ceux plus récents (à partir de 3.18) sont hors de danger.
Cette faille a été identifiée depuis février 2015 sous la référence CVE-2015-180 et un patch est en préparation depuis le mois dernier, après la notification envoyée à Google par la CORE Team, un regroupement d’experts en sécurité informatique. En mars, Zimperium, une startup également spécialisée dans ce domaine, a notifié Google de la présence d’une application profitant de cette faille sur le Google Play.
Dans son bulletin de sécurité, Google explique que l’application en question a été retirée du Google Play. « Les clients qui installent une application qui cherche à exploiter cette faille prennent des risques. Les applications de root sont interdites sur le Google Play et nous allons bloquer l’installation de cette application en dehors du Google Play grâce à la vérification d’applications », tranche l’entreprise.
Cela étant dit, un utilisateur qui aurait désactivé la vérification d’application peut toujours installer manuellement une application profitant de l’exploit sur son appareil via le fichier APK ou sur un magasin d’application alternatif.
Pour corriger ce problème, Google va déployer un patch sur l’ensemble de la gamme Nexus dans les prochains jours. Celui-ci a été transmis aux différents constructeurs, mais à cause de la fragmentation d’Android, il pourrait se passer plusieurs semaines, voire mois, avant que les fabricants n’appliquent le correctif sur leurs appareils.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !