android

Android: Nouvelle faille 0-day exploitée activement

Une nouvelle faille 0-day d’Android est activement exploitée. Elle a reçu l’identifiant CVE-2019-2215.

Découverte par une chercheuse de Project Zero, Maddie Stone, les détails et la preuve de concept de l’exploit ont été rendu public hier, seulement 7 jours après que la vulnérabilité ait été signalé à l’équipe de sécurité d’Android.

La faille est une vulnérabilité utilisation-après-libre(use-after-free) dans le pilote du noyau d’Android et permet à un utilisateur local ou une application d’élever ses privilèges pour obtenir un accès root(administrateur) à l’appareil vulnérable et de prendre le contrôle de cette appareil.

Appareils Android Vulnérables

La vulnérabilité réside dans les versions du noyau d’Android qui sont sortis avant Avril 2018, un patch avait été inclut dans le noyau Linux 4.14 sorti en Décembre 2017 mais avait seulement été incorporé dans les versions 3.18, 4.4 et 4.9 du noyau AOSP(Android Open Source Project).

Beaucoup d’appareils Android ont donc été fabriqué et vendu avec un noyau non-patché qui est vulnérable à cette faille de sécurité même après avoir reçu les dernières mises à jour d’Android. Voici une liste des smartphones concernés :

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Oreo LG phones
  • Samsung S7
  • Samsung S8
  • Samsung S9

Il faut préciser que les Pixel 3, 3 XL et 3a qui ont les derniers noyaux Android ne sont pas concernés par cette vulnérabilité.

La Faille Peut Etre Exploité à Distance

Selon la chercheuse, comme le problème est “accessible depuis l’intérieur de la sandbox de Chrome,” la vulnérabilité peut être exploité à distance en la combinant avec une faille de rendu de Chrome.

“Le bug est une vulnérabilité locale d’élévation de privilèges qui permet de compromettre un appareil vulnérable. Si l’exploit est délivré via le Web, il faut juste le combiné avec un exploit de moteur de rendu, car cette vulnérabilité est accessible via la sandbox,” a déclaré Stone sur le blog de Chromium.

android

“J’ai joint une preuve de concept d’exploit local pour démontrer comment ce bug peut être utilisé pour obtenir des permissions de lecture/écriture sur le noyau. Il faut seulement que l’exécution du code de l’application exploite la faille CVE-2019-2215. J’ai aussi joint une capture d’écran (success.png) de la preuve de concept s’exécutant sur un Pixel 2, tournant sur Android 10 avec un patch de sécurité datant de Septembre 2019.”

Des Patchs Bientôt Disponible

Bien que Google sortira un patch pour cette vulnérabilité avant la fin du mois et qu’ils ont aussi alerté les compagnies qui utilisent leur logiciel, la plupart des appareils affectés ne recevront pas le patch immédiatement, exceptés les Pixel 1 et 2.

“Ce problème est marqué comme très important sur Android et nécessite l’installation d’une application malveillant pour une exploitation potentielle. N’importe quels autres vecteurs, tel que le navigateur web par exemple, nécessite l’ajout d’un exploit additionnel,” a déclaré l’équipe de sécurité d’Android.

“Nous avons alerté nos partenaires Android, et le patch est disponible sur Android Common Kernel. Les smartphones Pixel 3 et 3a ne sont pas vulnérables alors que les Pixel 1 et 2 recevront des mises à jour pour ce problème lors de la mise à jour du mois d’Octobre.”

La division Project Zero de Google donne habituellement une limite de 90 jours pour réparer un problème dans leurs produits affectés avant de publier les détails et les preuves de concept. Si la faille est activement exploitée, ils publient les détails 7 jours après avoir alerté tout le monde.

Il est donc nécessaire de toujours faire attention aux applications que vous téléchargez et installez depuis un parti tiers et même depuis le Google Play Store.

Si cette article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de