Une vulnérabilité zero-day qui était censée être corrigée dans Android refait surface

android zéro jour

Une vulnérabilité qui a été corrigée dans les versions précédentes sur Android depuis le début de l'année dernière, a refait surface, parce que récemment sNous avons découvert que les attaquants exploitaient activement une vulnérabilité zero-day sur Android que vous permet de prendre le contrôle total de différents modèles de téléphones, dont 4 modèles Google Pixel, Huawei, appareils Xiaomi, Samsung et autres, a déclaré un membre du groupe de recherche Google Zero Project.

Vulnérabilité a été classé comme "haute gravité" sur Android Pire encore, l'exploit nécessite peu ou pas de personnalisation pour rooter complètement les téléphones vulnérables. Un message du groupe de recherche de Google suggère que le bogue, découvert la semaine dernière, a été activement exploité, soit par le groupe NSO, soit par l'un de ses clients.

Cependant, les représentants du groupe ont décliné toute responsabilité par l'exploitation de l'erreur. NSO Group est un développeur d'exploits et de logiciels espions qui vend à diverses entités gouvernementales.

Dans un e-mail, des représentants du groupe NSO ont écrit après la divulgation de l'exploit:

«NSO n'a pas vendu et ne vendra jamais d'exploits ou de vulnérabilités. Cet exploit n'a rien à voir avec NSO; notre travail se concentre sur le développement de produits conçus pour aider les agences de renseignement et les forces de l'ordre à sauver des vies ».

Le groupe, basé en Israël et spécialisé dans l'assistance technique aux gouvernements pour l'espionnage de terminaux mobiles et le développement d '«armes numériques», s'est illustré comme tel avec la découverte en 2016 et 2017, par des chercheurs du Citizen Lab de l'Université. de Toronto, un logiciel d'espionnage mobile avancé qu'il a développé et surnommé Pegasus.

Google a également fait preuve de diligence et de rapidité avec les correctifs de sécurité (Pas plus tard que le mois dernier, Google a publié des correctifs de sécurité pour les téléphones Google Pixel et de nombreux autres téléphones.) Mais tout cela n'a pas empêché de nouvelles vulnérabilités dans Android.

Cet exploit est une élévation de privilèges du noyau en utilisant une vulnérabilité, qui permet à l'attaquant de compromettre complètement un appareil vulnérable et de le rooter. Étant donné que l'exploit est également accessible à partir du bac à sable Chrome, il peut également être diffusé sur le Web une fois qu'il est combiné avec un exploit qui pointe vers une vulnérabilité dans le code de Chrome utilisé pour rendre le contenu.

Cette vulnérabilité censé être corrigé au début de 2018 dans la version 4.14 du noyau Linux LTS mais pas de suivi CVE. Le correctif a été intégré aux versions 3.18, 4.4 et 4.9 du noyau Android. Cependant, la solution n'a pas atteint les mises à jour de sécurité Android qui ont suivi, laissant plusieurs appareils vulnérables à cette faille qui est maintenant suivie comme CVE-2019-2215.

Maddie Stone, membre de Project Zero, a déclaré dans un message que «le bogue est une vulnérabilité qui augmente les privilèges locaux et permet une compromission complète d'un appareil vulnérable».

C'est-à- un attaquant peut installer une application malveillante sur les appareils concernés et atteindre la racine à l'insu de l'utilisateur, vous pouvez donc avoir le contrôle total de l'appareil. Et comme il peut être combiné avec un autre exploit dans le navigateur Chrome, l'attaquant peut également fournir l'application malveillante via le navigateur Web, éliminant ainsi le besoin d'un accès physique à l'appareil.

La liste "non exhaustive" des appareils que le groupe de recherche Google a publiés en tant qu'appareils concernés est la suivante:

  • pixel 1
  • Pixel 1 XL
  • pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Remarque 5 Redmire
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Téléphones LG
  • Samsung S7
  • Samsung S8
  • Samsung S9

L'équipe de recherche de Project Zero a partagé un exploit local de preuve de concept pour démontrer comment ce bogue peut être utilisé pour obtenir une lecture / écriture arbitraire du noyau lors de l'exécution locale.

Cependant, un autre membre de l'équipe Zero Project de Google a déclaré que la vulnérabilité serait déjà corrigée dans la mise à jour de sécurité Android d'octobre, qui sera probablement disponible dans les prochains jours.


Le contenu de l'article adhère à nos principes de éthique éditoriale. Pour signaler une erreur, cliquez sur c'est par ici !.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.