Bluetooth, une faille dans l’implémentation sur Android

Une vulnérabilité critique dans l’implémentation de Bluetooth sur les appareils Android pourrait permettre aux pirates informatiques de lancer des attaques d’exécution de code à distance (RCE) sans aucune interaction de l’utilisateur.

Des chercheurs ont révélé plus de détails sur la faille Android critique (CVE-2020-0022), qui a été corrigée un peu plus tôt ce mois-ci dans le cadre du bulletin de sécurité Android de février de Google. Ce bug RCE(exécution de commande à distance) constitue une menace de gravité critique pour les versions Android Pie (9.0) et Oreo (8.0, 8.1), qui représentent près des deux tiers des appareils Android en circulation. Il faut cependant que la fonctionnalité Bluetooth soit activée.

Pour ces versions, les chercheurs ont déclaré qu’un pirate se trouvant “à proximité” peut exécuter silencieusement du code arbitraire avec les privilèges du daemon Bluetooth, qui est un programme qui s’exécute en arrière-plan et gère les tâches spécifiées à des moments prédéfinis ou en réponse à certains événements. La faille est particulièrement dangereuse car aucune interaction utilisateur n’est requise et seule l’adresse MAC Bluetooth des appareils ciblés doit être connue pour lancer l’attaque, ont déclaré les chercheurs.

“Pour certains appareils, l’adresse MAC Bluetooth peut être déduite avec l’adresse MAC WiFi”, a déclaré la société de sécurité allemande ERNW dans son analyse. «Cette vulnérabilité peut entraîner le vol de données personnelles et pourrait potentiellement être utilisée pour propager des logiciels malveillants (ver à courte distance).»

bluetooth

Le même CVE a également un impact sur la version d’Android la plus récente de Google, Android 10. Cependant, avec Android 10, la gravité est modérée et l’impact n’est pas un bug RCE, mais plutôt une menace de déni de service qui pourrait entraîner le crash du daemon Bluetooth, selon les chercheurs.

Les versions d’Android antérieures à 8.0 pourraient également être affectées, mais les chercheurs ont déclaré qu’ils n’avaient pas testé l’impact. Ils ont dit qu’une fois qu’ils seront «confiants» que tous les correctifs ont atteint les utilisateurs finaux, ils publieront un rapport détaillé sur la faille qui inclura une description de l’exploit ainsi qu’un code de preuve de concept.

Comment se protéger de cette faille de Bluetooth sur Android?

Google a déclaré qu’une mise à jour de sécurité et des images de firmware sont disponibles pour les appareils Google Pixel et Nexus, et que les opérateurs tiers fourniront également des mises à jour pour les autres appareils Android. Au total, le correctif du mois de février du système d’exploitation Android comprenait 25 bugs et correctifs. Dix-neuf de ces vulnérabilités sont jugées comme étant élevées, avec quatre autres bugs qui sont également jugés comme étant élevés, mais qui sont associés aux puces Qualcomm utilisés dans les appareils Android.

En attendant, les chercheurs invitent les utilisateurs à installer les derniers correctifs du bulletin de sécurité Android du mois de février. Comme solution de mitigations, les utilisateurs peuvent également se sécurisé en activant uniquement le Bluetooth “quand cela est strictement nécessaire”.

bluetooth

“CVE-2020-0022 peut être exploité par toute personne à portée de votre téléphone vulnérable qui peut déterminer votre adresse MAC Bluetooth, ce qui n’est pas une tâche difficile”, a déclaré Jonathan Knudsen, stratège principal de la sécurité chez Synopsys. «En tant qu’utilisateur, il est important de se tenir au courant des mises à jour et de les appliquer en temps opportun. Malheureusement, de nombreux téléphones vulnérables et légèrement plus anciens ne bénéficieront pas d’une prise en charge continue des mises à jour de logicielles par le fabricant, ce qui signifie que les utilisateurs sont confrontés à deux options peu attrayantes: désactiver complètement Bluetooth ou acheter un téléphone plus récent. »

Bluetooth et Android

Ce n’est pas la première fois que des failles Bluetooth exposent les appareils Android à diverses menaces. En 2019, les chercheurs ont découvert une vulnérabilité critique (CVE-2019-2009) affectant le système de base Android (version 7 et ultérieure) liée au composant Bluetooth «l2c_lcc_proc_pdu». La tristement célèbre attaque BlueBorne découverte en 2017 a également affecté les appareils Android (ainsi que les appareils iOS), permettant aux pirates informatiques de passer d’un appareil Bluetooth à proximité à l’autre sans fil.