Une vulnérabilité vieille de 5 ans menace des millions de terminaux Android
FireEye a découvert une vulnérabilité dans le composant radio de Qualcomm, faille qui peut-être exploitée en toute discrétion par un attaquant.
Une faille de sécurité propre aux logiciels accompagnant des composants Qualcomm menace des millions de terminaux Android en circulation. Référencée CVE-2016-2060, la vulnérabilité permet à l’attaquant d’accéder aux privilèges locaux de l’appareil à travers le composant radio intégré. Il en résulte un accès éventuel aux SMS et à l’historique des appels de l’utilisateur, notamment.
La faille est arrivée quand Qualcomm a fourni, en 2011, une nouvelle API pour tirer partie des possibilités de son composant radio, particulièrement des capacités de tethering (pour transformer un smartphone en hotspot Wifi et offrir une connexion Internet à d’autres appareils). Qualcomm a, de fait, modifié le processus (daemon) « netd » issu du système Android Open Source Project (AOSP) de Google. « Le service netd ne valide pas correctement le nom d’interface quand une nouvelle interface est ajoutée en amont, indique le fabricant de puces dans l’alerte de sécurité postée le 5 mai dernier sur le forum CodeAurora. Ce nom invalide est alors susceptible d’être utilisé comme un argument dans les commandes du système. »
Des centaines de modèles affectés
Difficile de dire combien de terminaux sont concernés. « Il est possible que des centaines de modèles soit affectés depuis ces 5 dernières années », note la société de sécurité FireEye, qui a alerté Qualcomm en janvier 2016. La vulnérabilité a été confirmée sur les modèles sous Lollipop (Android 5.x), KitKat (4.4), Jellybean (4.3) et, probablement, Ice Cream Sandwich MR1 (4.0.3) et Gingerbread (2.3.x). Soit plus de 90 % des OS Android qui équipent les smartphones en circulation (Android 6.0 Mashmallow, crédité de 7,5% du marché selon Google, n’étant pas directement affecté).
La vulnérabilité peut être exploitée si l’attaquant dispose d’un accès physique au terminal déverrouillé ou si l’utilisateur installe une application malveillante. « N’importe quelle application peut interagir avec cette API sans déclencher d’alertes, prévient la société de sécurité. Google Play ne la marquera probablement pas comme malveillante. Il est difficile de croire que les antivirus indexent cette menace. Par ailleurs, l’autorisation nécessaire pour exploiter l’API est demandée par des millions d’applications, ce qui ne tendra pas à alerter l’utilisateur que quelque chose ne va pas. »
Un correctif impossible à généraliser
Sur les vieux modèles de smartphones, poursuit FireEye, la vulnérabilité peut non seulement donner accès aux données SMS et appels de l’utilisateur, mais aussi ouvrir un accès Internet et lancer n’importe quelle fonction permise par le composant radio. Si les appareils plus récents sont moins affectés, l’application malveillante peut néanmoins modifier des propriétés systèmes additionnelles. « L’impact dépend entièrement de la façon dont le constructeur utilise le sous-système de propriété système », selon le découvreur de la vulnérabilité. Qui ajoute que, exploitée, la faille de sécurité n’a aucun impact particulier sur les performances de l’appareil, donc n’éveillera pas la méfiance de son utilisateur. Fort heureusement, FireEye précise ne pas avoir connaissance d’attaques exploitant cette vulnérabilité. Pour le moment.
Qualcomm a, comme il se doit, livré un correctif dans les 90 jours qui ont suivi le signalement du problème. Correctif que Google a intégré à son bulletin de sécurité de mai. Mais il reste aux constructeurs à mettre à jour leur distribution d’Android (que plusieurs d’entre eux, dont Samsung et LG, ont décidé de mensualiser dans la foulée de Google) et à pousser les versions corrigées de l’OS vers leurs appareils, ce qui dépend également de la politique de mise à jour des opérateurs pour les appareils liés à un forfait (seuls les terminaux Nexus de Google bénéficiant automatiquement des mises à jour système). De plus, l’API de Qualcomm est proposée en mode Open Source depuis 2011. Il est donc probable qu’elle soit également exploitée par des alternatives à Android comme Cyanogen. « Il va être particulièrement difficile de patcher tous les appareils concernés, voire impossible », annonce sans équivoque FireEye.
Lire également
Google fait le point sur les menaces visant Android
Stagefright, de retour, menace des millions de terminaux Android
88% des smartphones Android ne sont pas sécurisés
