Les chercheurs en sécurité de Perception Point ont rendu publique le 19 janvier dernier une faille de sécurité qui touche le noyau de certaines versions d’Android. Selon eux, 66 % du parc de smartphones et de tablettes Android serait touché, mais ce chiffre pourrait en fait être inférieur.

données privées

La faille CVE-2016-0728 vient d’être rendue publique, mais existe depuis 2012. Elle toucherait de nombreux appareils Android, mais également des ordinateurs sous Linux. Cela s’explique par l’utilisation du même noyau (kernel en anglais) par Android et Linux. Plus exactement, la faille a été découverte au sein des noyaux en version 3.8 et supérieure. Heureusement, sous Linux et Android, il existe des protections, notamment depuis Lollipop.

 

Android suffisamment protégé ?

Ainsi, comme le précise Adrian Ludwig, ingénieur sécurité chez Google, les appareils sous Android 5.0 Lollipop ou 6.0 Marshmallow ne sont pas vulnérables, grâce à l’utilisation du module de sécurité SELinux qui empêche les applications tierces d’accéder à la faille. Les anciennes versions d’Android peuvent donc être vulnérables, toutefois, rares sont les appareils sous Android 4.4 KitKat à être équipé d’un noyau en version 3.8 ou supérieure. La portée de la faille ne serait donc pas si élevée que ça sous Android même si les chercheurs en sécurité indiquent qu’il existe des moyens de contourner ces protections.

 

Un patch déjà en ligne, mais pas appliqué

Google a mis en ligne un patch de sécurité dans AOSP, accessible à tous les partenaires. Celui-ci sera intégré à la mise à jour de sécurité Nexus mensuelle en date du 1er mars 2016. On émet donc des doutes sur la capacité rapide des constructeurs à proposer ce patch même si les principaux OEM s’y sont engagés lors de l’épisode de la faille Stagefright, l’été dernier.

Les plus curieux pourront se rendre sur l’article de blog du site de Perception Point qui détaille la faille. En quelques mots, la faille permet de prendre assez facilement les accès root sur un appareil vulnérable, pour ensuite avoir accès à l’ensemble des données. La faille ne semble toutefois pas exploitable à distance et requiert l’installation d’une application tierce. Pour le moment, la faille n’a pas encore été détectée sur Internet et semble donc confinée au laboratoire des chercheurs.