Plusieurs mobiles Android sont concernés par une faille zero-day, en cours d’exploitation. Les chercheurs de Google recommandent la prudence, jusqu’à la livraison, imminente, de la mise à jour de sécurité d'octobre.

D’après l’alerte lancée par l'équipe Project Zero de Google, une vulnérabilité zero day pourrait permettre à un pirate de prendre le contrôle total des Pixel, Pixel 2, Galaxy S9, Huawei P20, et de millions d'autres téléphone tournant sous Android. Pire encore, ils ont la preuve que la faille est activement exploitée.

Comme l'a remarqué en premier le site Ars Technica, le problème a d'abord été corrigé dans la mise à jour de sécurité de décembre 2017, mais une nouvelle analyse du code source semble indiquer que de nombreux mobiles sont « toujours vulnérables ». Dans la liste des mobiles à risque établie par Google, on trouve notamment les Google Pixel et Pixel 2, les Samsung Galaxy S7, S8 et S9, le Huawei P20, les Xiaomi Redmi 5A, Redmi Note 5 et A1, l’Oppo A3, le Moto Z3 et les mobiles de LG tournant sous Android 8 Oreo.

Une élévation de privilèges

Toujours selon Google, l'exploit « nécessite peu ou pas de personnalisation pour être efficace », mais il a besoin d’installer « une application malveillante » soit « à l'intérieur du bac à sable de Chrome », soit à partir d’une boutique d’application ou d’une source non fiable. Cela signifie que l’exploit ne peut pas être exécuté à distance. Donc, il est possible d’échapper à l’attaque en étant vigilant. Comme l'explique la chercheuse Maddie Stone, « la vulnérabilité permet une escalade des privilèges locaux et la prise de contrôle totale d'un périphérique vulnérable. Si l'exploit est livré via le web, il suffit de le coupler avec un exploit de rendu, puisque cette vulnérabilité est accessible via la sandbox ».

Google a raccourci la divulgation publique de 30 jours à 7 jours après avoir découvert que la faille était activement exploitée par le groupe NSO, un « groupe de développeurs d'exploits » réputé, qui agit depuis Israël. Comme l'explique Ars Technica, ce groupe est à l’origine du logiciel espion Pegasus apparu en 2016 sur les appareils mobiles. Dans un communiqué, Google a assuré qu'un correctif serait bientôt disponible : « Les mobiles Pixel 1 et 2 seront protégés par la mise à jour de sécurité d'octobre qui sera livrée dans les prochains jours. De plus, un patch a été mis à la disposition des partenaires afin de sécuriser l'écosystème Android ». Les pixels 3 et 3a ne sont pas affectés par l'exploit.

Même si la probabilité que cette vulnérabilité affecte votre mobile est assez faible, le mieux est d’éviter de télécharger des applications non fiables jusqu'à la disponibilité de la mise à jour de sécurité d'octobre.