Accueil > Les News Android > Une faille critique vieille de cinq ans enfin corrigée !

Une faille critique vieille de cinq ans enfin corrigée !

Par Yann Peyrot

Une faille importante de sécurité, liée à l’API fournie par Qualcomm aux constructeurs désireux d’utiliser les processeurs de la marque, touche Android depuis 2011. Un correctif publié le 1er mai vient combler cette faille. Malheureusement, il s’adresse uniquement aux appareils les plus récents.

Les mises à jour de sécurité fréquentes proposées par Google pour son système d’exploitation, c’est une bonne chose. Surtout quand ces dernières viennent combler une faille de sécurité critique, présente depuis 5 ans et complètement passée inaperçue. Ce sont les experts en sécurité de FireEye qui ont pointé du doigt l’existence de cette brèche dont la naissance remonte à 2011. Une époque préhistorique où les Samsung Galaxy S II, Sony Xperia Play ou encore les Nexus S cohabitaient…

 

Nommée CVE-2016-2016, l’apparition de cet « exploit » coïncide avec l’introduction, par le fondeur Qualcomm, de plusieurs API aidant les constructeurs à relier leurs smartphones aux processeurs et à Android (évidemment). Quand on s’attarde sur la fiche technique des appareils de l’époque, on se rend compte que Qualcomm est mentionné sur la plupart des mobiles et tablettes du marché.

 

Quels sont les appareils menacés ?

 

Comme souvent, cette faille de sécurité est renforcée par la fragmentation de l’OS. Les appareils les plus récents, ceux embarquant Lollipop (5.0) et Marshmallow (6.0) ne craignent rien. En effet, les correctifs mensuels publiés par Google, relayés par les constructeurs, ont depuis comblé cette brèche.

Les versions d’Android les plus exposées sont celles antérieures à Android 4.4 KitKat (Jelly Bean, Ice Cream Sandwich, Gingerbread…). KitKat est un peu plus à l’abri car cette version Android intègre un système de sécurité contrôlant les permissions accordées aux applications. La faille découverte par FireEye concerne justement les autorisations que s’adjugent certaines applis. En exploitant la brèche, certaines applis malveillantes s’accordent des droits qu’elles ne sont pas censées avoir : accès aux contenus des SMS, à l’historique des appels, changement des réglages du mobile ciblé (via les paramètres) et autres réjouissances…

On reste donc sur la même problématique que Stagefright, la faiblesse d’Android est clairement identifiée : la fragmentation. Seuls les appareils les plus récents bénéficient des correctifs comblant les failles que l’on découvre petit à petit. Les smartphones et tablettes qui n’embarquent pas un Android récent restent sur la touche et vulnérables…

 

Articles les plus populaires :

comments powered by Disqus

Auteur : Yann Peyrot