Ce sont au total 900 millions de smartphones et tablettes sous Android qui seraient actuellement victime d’une grave faille de sécurité permettant à des pirates de prendre totalement le contrôle d’un appareil à distance. Sont touchés tous les terminaux équipés de puces Qualcomm puisque la faille provient directement des pilotes de la firme américaine. Cette nouvelle série de vulnérabilités pose encore une fois la question du manque de sécurité sous Android.

Quad rooter

Mise à jour du 09/08/2016 à 14h : Qualcomm nous a contacté pour nous donner davantage de précisions : « Nous avons été informés par le chercheur de ces vulnérabilités entre février et avril de cette année, et avons partagé les correctifs nécessaires aux quatre vulnérabilités à nos clients, partenaires et à la communauté open source entre avril et juillet. Les correctifs ont également été affichés sur CodeAurora ».

Dans un long livre blanc, la firme Check Point, spécialisée dans la sécurité informatique, vient de mettre au jour une grave faille de sécurité touchant le monde Android. Au total, ce sont plus de 900 millions de terminaux (smartphones et tablettes) qui seraient à risque. En fait, tous les appareils intégrant un processeur ou un modem signé Qualcomm seraient vulnérables à quatre failles de sécurité jugées graves par l’entreprise de San Diego. Plus exactement, l’ensemble de failles (nommées QuadRooter par Check Point) est directement intégré aux pilotes Qualcomm, ce qui rend le travail de sécurisation encore plus difficile.

 

Les terminaux récents touchés, même haut de gamme

Les quatre failles ont été trouvées par Check Point en avril et Qualcomm en a directement été informé. C’est donc 90 jours après cette information que Check Point s’est permis de rendre la découverte publique. Malheureusement, de nombreux terminaux sont encore à risque malgré la réaction rapide de Qualcomm. Les terminaux que nous avons testés, à l’image des LG G4, G5, HTC One A9, Xiaomi Mi Note ou encore le Sony Xperia X Performance flambants neufs sont encore touchés par les failles. Pour information, deux failles (CVE-2016-2503 et 2504) ont été corrigées par les mises à jour de sécurité mensuelles Google des mois de juillet et août.

L’exploitation de cette faille peut être très dangereuse pour les utilisateurs puisqu’il suffit pour un pirate de proposer une application (sans aucune autorisation particulière) pour exploiter cette série de quatre failles. Une fois que l’utilisateur a installé cette application, il devient alors possible pour le pirate de récupérer les droits root pour obtenir un accès total au téléphone et donc espionner comme il se doit tout ce qui se passe sur le terminal. Une faille qui pourrait en fait être exploitée par la NSA dans ses missions d’espionnage.

 

La problématique de la sécurité sous Android

Cette série de faille QuadRooter prouve encore une fois de plus la mauvaise gestion de la sécurité sous Android. Pour que les mises à jour des pilotes de Qualcomm arrivent jusqu’au terminal de l’utilisateur, il faut compter plusieurs semaines, voire plusieurs mois. Dans le pire des cas, certains terminaux ne verront d’ailleurs jamais le jour de ces patchs de sécurité.

quadrooter

Une fois que Qualcomm a corrigé ses patchs, l’entreprise soumet son travail à Google qui les intègre à AOSP pour certains d’entre eux tandis que d’autres patchs sont directement envoyés aux constructeurs. Ces derniers piochent alors dans les patchs de sécurité mensuels de Google et dans les patchs fournis par Qualcomm pour proposer aux clients une mise à jour du système. Si le client a acheté son smartphone chez un opérateur, il faut ajouter une étape supplémentaire, celle de la validation des patchs par l’opérateur et la création d’une nouvelle mise à jour qui intègre quelques éléments propres à l’opérateur.

 

Votre terminal est-il touché par QuadRooter ?

La société Check Point qui a réussi à trouver ces quatre failles de sécurité vient de mettre en ligne sur le Play Store l’application QuadRooter Scanner qui permet d’analyser son téléphone ou sa tablette. L’application permet alors de lister les vulnérabilités présentes sur le terminal. Si vous êtes touchés, évitez d’installer des applications d’un éditeur inconnu et encore plus s’il s’agit de sideloader un APK.