Android : Google corrige une vulnérabilité critique liée au root

5
95

Google vient de déployer un patch d’urgence sur les smartphones de la gamme Nexus visant à corriger une vulnérabilité critique présente dans le Kernel Linux. Une application présente sur le Google Play Store exploite la faille pour rooter le téléphone de l’utilisateur.

Android est régulièrement à risque, surtout du fait des mises à jour aléatoires et décalées sur beaucoup d’appareils non gérés directement par Google. Dans une récente annonce, Google explique avoir déployé une mise à jour d’urgence pour tous les téléphones de la gamme Nexus afin de corriger une vulnérabilité située au niveau du kernel Linux sur lequel se base Android, mais la faille est aussi située sur de nombreux smartphones et tablettes Android mais le déploiement est complexe et aléatoire du fait que la gestion des correctifs de sécurité incombe aux fabricants et non à Google… C’est d’ailleurs incontestablement le plus gros point faible d’Android aujourd’hui !

La présente faille a été découverte en 2014, sans pour autant inquiéter qui que ce soit chez Google. Mias la situation a changée en février 2016, lorsque les chercheurs en sécurité de l’équipe C0RE Team informent Google que la vulnérabilité peut être utilisée sur Android afin de permettre une escalade de privilège sur l’appareil visé. Pour finir, tout se précipite aujourd’hui alors que la société de cybersécurité Zimperium informe de la présence d’une application Android disponible sur le Google Play Store l’exploite déjà pour rooter les appareils concernés (donc non malveillante car elle ne le fait pas à l’insu de l’utilisateur).

A noter que Google rappelle néanmoins que ce type d’application est interdit sur le Play Store. Un patch pour les Nexu 5 et 6 est disponible.

Les versions du kernel Linux affectées sont les versions inférieures à la 3.18. Google a transmis aux différents constructeurs tiers un patch correctif afin de corriger cette vulnérabilité, libre à eux d’appliquer le patch pour protéger leurs clients contre d’éventuelles utilisations malveillantes de cette faille…

 

Source : ZDNet

Les commentaires sont fermés.