Google a livré un pack de correctifs de sécurité pour ses smartphones et ses tablettes Nexus. Ces patchs réparent des vulnérabilités qui pourraient permettre à des attaquants de pirater les appareils Android en utilisant des courriels, des pages Web et des messages MMS malveillants.

Ces mises à jour sont actuellement déployées over the air sur les dispositifs Nexus concernés et les correctifs seront ajoutés au projet Android Open Source Project (AOSP) au cours des 48 prochaines heures. Comme le précise le bulletin de sécurité de Google, ces correctifs sont inclus dans les versions Builds LMY48Z et Android Marshmallow avec un Security Patch Level daté du 1er décembre 2015. Cinq vulnérabilités sont qualifiées de critiques, douze d’importantes, et deux de modérées. Un grand nombre de failles a encore été découvert dans les composants chargés du traitement des médias, notamment ceux qui gèrent la lecture audio et vidéo et l’analyse des métadonnées dans les fichiers correspondants.

Des vulnérabilités dans les propres apps de Google

L’une des vulnérabilités critiques affecte le serveur de médias "mediaserver", un élément essentiel du système d'exploitation, et elle peut être exploitée pour exécuter du code arbitraire avec des privilèges que les applications tierces ne sont pas supposées détenir. Les attaquants peuvent exploiter la faille à distance en incitant les utilisateurs à lire des fichiers multimédias spécialement conçus dans leurs navigateurs ou en les envoyant par message multimédia (MMS). Il est intéressant de noter que Google a désactivé l'analyse automatique des messages multimédias reçus dans Google Hangouts et Messenger, pourtant les applications de messagerie par défaut d’Android.

Trois autres vulnérabilités dans le traitement des médias pouvant permettre l'exécution de code à distance par courriel, via le navigateur Web et par envoi de MMS ont été corrigées dans le moteur graphique Skia et dans le pilote d'affichage en mode utilisateur chargé par ‘mediaserver’. Enfin, la mise à jour corrige une dernière vulnérabilité critique, une faille dans le noyau Android pouvant entraîner une escalade de privilèges. Elle permet potentiellement à des applications malveillantes d'exécuter du code en mode root, avec le niveau de privilège le plus élevé du système. Ce type de vulnérabilité est aussi utilisé par certains amateurs qui veulent avoir un contrôle complet sur leurs appareils. Mais, ce genre de failles peut être exploité durablement par des pirates malveillants pour prendre le contrôle d’un terminal. Ensuite, la seule solution pour s’en débarrasser est de reflasher le système d'exploitation.

Appliquer sans délai les mises à jour

D'autres failles d'escalade de privilèges ont été corrigées dans d'autres composants de cette version d’Android, mais celles-ci ne sont pas qualifiées de critiques, car elles ne permettent pas d’accès root. Elles peuvent cependant accorder à des applications malveillantes un niveau d’autorisation qu’elles ne devraient pas avoir. Google recommande aux utilisateurs tournant avec d’anciennes versions d’Android d’appliquer, si possible, cette mise à jour, en particulier si elles sont proposées par le constructeur du terminal.

Les nouvelles versions d'Android ont été dotées de fonctions de sécurité qui peuvent rendre l'exploitation de certaines vulnérabilités plus difficiles ou impossibles. L'équipe de sécurité de Google utilise également des fonctions comme Verify Apps et SafetyNet pour identifier et bloquer des apps potentiellement dangereuses. Notamment, les apps qui exploitent les privilèges d'escalade pour modifier la racine du système ne sont pas autorisées dans le Google Play et Verify Apps bloque toutes ces applications par défaut.