[Mise à jour: corrigé] Une vulnérabilité de jour zéro trouvée dans Google Pixel, Huawei, Xiaomi, Samsung et d'autres appareils a été activement exploitée

Mise à jour le 10/10/19 à 03h05: La vulnérabilité Android du jour zéro a été corrigée avec le correctif de sécurité du 6 octobre 2019. Faites défiler vers le bas pour plus d'informations. L'article publié le 6 octobre 2019 est conservé comme ci-dessous.

La sécurité a été l’une des principales priorités des dernières mises à jour Android, les améliorations et modifications apportées au cryptage, aux autorisations et au traitement des données confidentielles faisant partie des fonctionnalités principales. D'autres initiatives telles que Project Mainline pour Android 10 visent à accélérer les mises à jour de sécurité afin de rendre les appareils Android plus sûrs. Google a également fait preuve de diligence et de ponctualité avec les correctifs de sécurité. Bien que ces efforts soient louables, il restera toujours de la place pour les exploits et les vulnérabilités d'un système d'exploitation comme Android. Il semble que des attaquants auraient activement découvert une vulnérabilité du jour zéro dans Android qui leur permettrait de prendre le contrôle total de certains téléphones de Google, Huawei, Xiaomi, Samsung et autres.

L'équipe Project Zero de Google a révélé des informations sur un exploit Android au jour zéro, dont l'utilisation active est attribuée au groupe NSO, bien que des représentants de NSO aient nié son utilisation à ArsTechnica . Cet exploit est une élévation de privilèges du noyau qui utilise une vulnérabilité use-after-free, permettant à l'attaquant de compromettre totalement un périphérique vulnérable et de le rooter. Étant donné que l'exploit est également accessible à partir du bac à sable Chrome, il peut également être diffusé via le Web une fois associé à un exploit qui cible une vulnérabilité du code dans Chrome utilisé pour rendre le contenu.

Dans un langage plus simple, un attaquant peut installer une application malveillante sur les périphériques affectés et accéder à la racine à l'insu de l'utilisateur. Comme nous le savons tous, la route est complètement dégagée par la suite. De plus, puisqu'il peut être associé à un autre exploit du navigateur Chrome, l'attaquant peut également livrer l'application malveillante via le navigateur Web, éliminant ainsi le besoin d'un accès physique au périphérique. Si cela vous semble grave, c'est parce que c'est certainement le cas - la vulnérabilité a été qualifiée de «gravité élevée» sur Android. Pire, cet exploit nécessite peu ou pas de personnalisation par périphérique, et les chercheurs de Project Zero ont également la preuve que l'exploit est utilisé à l'état sauvage.

La vulnérabilité a apparemment été corrigée en décembre 2017 dans la version 4.14 du noyau Linux LTS mais sans CVE de suivi. Le correctif a ensuite été intégré aux versions 3.18, 4.4 et 4.9 du noyau Android. Toutefois, le correctif n’a pas été intégré aux mises à jour de sécurité Android, laissant plusieurs périphériques vulnérables à cette faille qui fait maintenant l’objet du suivi en tant que CVE-2019-2215.

La liste «non exhaustive» des périphériques qui ont été trouvés affectés est la suivante:

  • Google Pixel
  • Google Pixel XL
  • Google Pixel 2
  • Google Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • Oppo A3
  • Moto Z3
  • LG téléphones sur Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

Toutefois, comme indiqué précédemment, il ne s’agit pas d’une liste exhaustive, ce qui signifie que plusieurs autres appareils sont également susceptibles d’être affectés par cette vulnérabilité, malgré des mises à jour de sécurité Android aussi récentes que celle de septembre 2019. Les Google Pixel 3 et Pixel 3 XL et Google Pixel 3a et Pixel 3a XL sont censés être protégés de cette vulnérabilité. La vulnérabilité sera corrigée sur les appareils Pixel concernés dans la prochaine mise à jour de sécurité Android d'octobre 2019, qui devrait être disponible dans un jour ou deux. Un correctif a été mis à la disposition des partenaires Android «afin de garantir la protection de l'écosystème Android contre le problème», mais vu la négligence et la nonchalance de certains constructeurs vis-à-vis des mises à jour, nous ne devrions pas retenir notre attention lorsque nous recevions la solution manière.

L'équipe de recherche de Project Zero a partagé un exploit local de validation de concept pour montrer comment ce bogue peut être utilisé pour obtenir une lecture / écriture arbitraire du noyau lors d'une exécution locale.

L'équipe de recherche de Project Zero a promis de fournir une explication plus détaillée du bogue et la méthodologie permettant de l'identifier dans un prochain article de blog. ArsTechnica est d’avis que les chances d’être exploité par des attaques aussi coûteuses et aussi ciblées que celle-ci sont extrêmement réduites . et que les utilisateurs doivent toujours attendre l'installation d'applications non essentielles et utiliser un navigateur non-Chrome jusqu'à ce que le correctif soit installé. À notre avis, nous ajouterions qu'il serait également prudent de rechercher le correctif de sécurité d'octobre 2019 pour votre appareil et de l'installer dès que possible.

Source: Project Zero

Histoire Via: ArsTechnica


Mise à jour: la vulnérabilité Android du jour zéro a été corrigée avec la mise à jour de sécurité d'octobre 2019

CVE-2019-2215, qui concerne la vulnérabilité d'élévation des privilèges du noyau susmentionnée, a été corrigée avec le correctif de sécurité d'octobre 2019, en particulier avec le correctif de sécurité de niveau 2019-10-06, comme promis. Si une mise à jour de sécurité est disponible pour votre appareil, nous vous recommandons fortement de l'installer au plus tôt.

Source: Bulletin de sécurité Android

Via: Twitter: @maddiestone