Google a découvert qu’une grave faille de sécurité dans Android est exploitée par des pirates informatiques pour prendre le contrôle total des téléphones vulnérables. Le crack, présent dans les smartphones de Samsung, Xiaomi et même Google, permet à une application malveillante d’obtenir des autorisations administratives et provient d’une ancienne version du noyau Linux.
La vulnérabilité est l’escalade des privilèges, c’est-à-dire que le code exécuté comme un utilisateur ordinaire obtient des autorisations plus importantes qu’il ne le devrait. Il a été corrigé en décembre 2017 dans le noyau Linux, mais pour une raison quelconque, il n’a jamais été intégré aux paquets de sécurité mensuels d’Android. Par conséquent, les téléphones mobiles fonctionnant avec des versions de noyau spécifiques (antérieures à 3.18, 4.4 ou 4.9) sont sujets à des défaillances.
Selon Google, la liste des appareils vulnérables comprend, entre autres, les modèles suivants :
Vous pouvez exploiter la faille de deux manières : en installant une application malveillante sur le téléphone portable de la victime ; ou par des attaques en ligne en profitant d’une autre vulnérabilité du moteur de rendu de Chrome. La chercheuse en sécurité de Google, Maddie Stone, souligne que l’exploit est exploité et que le groupe NSO pourrait utiliser ou vendre l’exploit.
Le groupe NSO est une entreprise connue pour le développement d’outils de cyber-intelligence pour les gouvernements du monde entier. Son principal produit est le Pegasus, qui peut activer le microphone et la caméra d’un téléphone portable, scanner les messages et collecter des données de localisation. Il s’agit d’un logiciel espion vendu aux agences de renseignement en Europe, en Amérique et au Moyen-Orient, annoncé comme un outil de lutte contre la criminalité et le terrorisme.
L’entreprise israélienne nie toute implication dans la faille découverte par Google et affirme qu’elle “ne vend pas et ne vendra jamais d’exploits ou de vulnérabilités”, ajoutant que “notre travail est axé sur le développement de produits conçus pour aider les services de renseignement et les forces de l’ordre autorisés à sauver des vies”.
Bien que grave, la vulnérabilité ne doit être exploitée que dans des cibles spécifiques. Jusqu’à ce qu’il soit corrigé, les utilisateurs peuvent prendre des précautions en évitant d’installer des applications suspectes et d’accéder au web sur Android avec un autre navigateur que Chrome.
