Pour gérer vos consentements :

Une vulnérabilité vieille de 5 ans menace des millions de terminaux Android

Une faille de sécurité propre aux logiciels accompagnant des composants Qualcomm menace des millions de terminaux Android en circulation. Référencée CVE-2016-2060, la vulnérabilité permet à l’attaquant d’accéder aux privilèges locaux de l’appareil à travers le composant radio intégré. Il en résulte un accès éventuel aux SMS et à l’historique des appels de l’utilisateur, notamment.

La faille est arrivée quand Qualcomm a fourni, en 2011, une nouvelle API pour tirer partie des possibilités de son composant radio, particulièrement des capacités de tethering (pour transformer un smartphone en hotspot Wifi et offrir une connexion Internet à d’autres appareils). Qualcomm a, de fait, modifié le processus (daemon) « netd » issu du système Android Open Source Project (AOSP) de Google. « Le service netd ne valide pas correctement le nom d’interface quand une nouvelle interface est ajoutée en amont, indique le fabricant de puces dans l’alerte de sécurité postée le 5 mai dernier sur le forum CodeAurora. Ce nom invalide est alors susceptible d’être utilisé comme un argument dans les commandes du système. »

Des centaines de modèles affectés

Difficile de dire combien de terminaux sont concernés. « Il est possible que des centaines de modèles soit affectés depuis ces 5 dernières années », note la société de sécurité FireEye, qui a alerté Qualcomm en janvier 2016. La vulnérabilité a été confirmée sur les modèles sous Lollipop (Android 5.x), KitKat (4.4), Jellybean (4.3) et, probablement, Ice Cream Sandwich MR1 (4.0.3) et Gingerbread (2.3.x). Soit plus de 90 % des OS Android qui équipent les smartphones en circulation (Android 6.0 Mashmallow, crédité de 7,5% du marché selon Google, n’étant pas directement affecté).

La vulnérabilité peut être exploitée si l’attaquant dispose d’un accès physique au terminal déverrouillé ou si l’utilisateur installe une application malveillante. « N’importe quelle application peut interagir avec cette API sans déclencher d’alertes, prévient la société de sécurité. Google Play ne la marquera probablement pas comme malveillante. Il est difficile de croire que les antivirus indexent cette menace. Par ailleurs, l’autorisation nécessaire pour exploiter l’API est demandée par des millions d’applications, ce qui ne tendra pas à alerter l’utilisateur que quelque chose ne va pas. »

Un correctif impossible à généraliser

Sur les vieux modèles de smartphones, poursuit FireEye, la vulnérabilité peut non seulement donner accès aux données SMS et appels de l’utilisateur, mais aussi ouvrir un accès Internet et lancer n’importe quelle fonction permise par le composant radio. Si les appareils plus récents sont moins affectés, l’application malveillante peut néanmoins modifier des propriétés systèmes additionnelles. « L’impact dépend entièrement de la façon dont le constructeur utilise le sous-système de propriété système », selon le découvreur de la vulnérabilité. Qui ajoute que, exploitée, la faille de sécurité n’a aucun impact particulier sur les performances de l’appareil, donc n’éveillera pas la méfiance de son utilisateur. Fort heureusement, FireEye précise ne pas avoir connaissance d’attaques exploitant cette vulnérabilité. Pour le moment.

Qualcomm a, comme il se doit, livré un correctif dans les 90 jours qui ont suivi le signalement du problème. Correctif que Google a intégré à son bulletin de sécurité de mai. Mais il reste aux constructeurs à mettre à jour leur distribution d’Android (que plusieurs d’entre eux, dont Samsung et LG, ont décidé de mensualiser dans la foulée de Google) et à pousser les versions corrigées de l’OS vers leurs appareils, ce qui dépend également de la politique de mise à jour des opérateurs pour les appareils liés à un forfait (seuls les terminaux Nexus de Google bénéficiant automatiquement des mises à jour système). De plus, l’API de Qualcomm est proposée en mode Open Source depuis 2011. Il est donc probable qu’elle soit également exploitée par des alternatives à Android comme Cyanogen. « Il va être particulièrement difficile de patcher tous les appareils concernés, voire impossible », annonce sans équivoque FireEye.


Lire également

Google fait le point sur les menaces visant Android
Stagefright, de retour, menace des millions de terminaux Android
88% des smartphones Android ne sont pas sécurisés

crédit photo © Creativa Images – shutterstock

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago