Une faille 0-day vient d’être découverte dans certains noyaux d’Android. Elle permet de prendre le contrôle du smartphone à distance et touche des smartphones très populaires tels que le Samsung Galaxy S9, le Huawei P20 ou le Xiaomi Redmi Note 5.

Samsung Galaxy S9

Samsung Galaxy S9, l’un des smartphones touchés

Les systèmes d’exploitation regorgent de failles de sécurité plus ou moins sensibles et plus ou moins critiques. L’une d’elles vient d’être découverte par Project Zero, la branche de Google dédiée à la sécurité informatique, révélant la vulnérabilité de smartphones Android très populaires.

Découverte par la chercheuse Maddie Stone, cette faille 0-day (une faille n’ayant encore jamais été documentée ni corrigée) touche directement le noyau Linux d’Android et permet ainsi à l’attaquant de s’octroyer des privilèges sur le système jusqu’à en obtenir le contrôle total à distance. Cela permet même d’obtenir des droits root (administrateur), et donc de modifier les strates inférieures du système.

Des smartphones populaires

La faille en question est contenue dans les versions du noyau d’Android sorti avant avril 2018 et a été corrigée dans la version 4.14 LTS du noyau Linux, sorti en décembre 2017. Ce correctif n’a cependant été intégré que dans les noyaux 3.18, 4.4 et 4.9 d’Android.

Ainsi, de nombreux smartphones Android ont été commercialisés avec cette faille et TheHackerNews liste notamment 13 smartphones populaires :

Les appareils touchés ne se limitent néanmoins pas seulement à cette liste et on peut également citer par exemple tous les smartphones de LG sous Android 8 Oreo. Par ailleurs, cette faille touche même les dernières versions d’Android. Maddie Stone explique par exemple avoir réussi à l’exploiter sur un Pixel 2 sous Android 10 avec le patch de sécurité de septembre 2019.

Accessible via la sandbox de Chrome, cette faille peut donc être exploitée par une app ou une simple page Web et permet de gagner les droits en lecture et écriture sur le noyau du système. De quoi prendre le contrôle total et en toute discrétion d’un appareil.

Un patch en cours

Il a été découvert que cette faille a déjà été exploitée par l’entreprise de surveillance israélienne NSO Group, une société réputée pour trouver des failles de ce genre et pour les revendre aux gouvernements.

Déjà prévenu, Google s’apprête à déployer un correctif pour cette faille dans le patch de sécurité d’octobre 2019. Les constructeurs ont également été avertis de l’existence — et de l’importance — de cette faille, afin qu’ils puissent également mettre à jour leurs smartphones. Rien ne dit cependant qu’ils le fassent très rapidement.