Pourquoi est-ce important: Un ensemble de vulnérabilités affectant les pilotes de noyau pour les GPU Qualcomm et Mali dans des millions de téléphones Android a été exploité dans la nature. Les appareils Google Pixel sont les seuls à être corrigés à ce jour, mais le problème éternel des mises à jour retardées pour d’autres appareils Android demeure.
Plus tôt ce mois-ci, les utilisateurs ont été informés d’une faille de sécurité critique présente dans les puces Qualcomm alimentant des centaines de millions d’appareils Android, comme l’a découvert la société de sécurité Check Point. Cette semaine, Google a mis à jour le bulletin de sécurité Android pour mai pour refléter le fait que quatre de ces vulnérabilités révélées le 1er mai ont été exploitées dans la nature.
Le rapport initial répertoriait pas moins de 42 vulnérabilités corrigées dans la mise à jour de sécurité de mai 2021, mais à l’époque, la société ne savait pas que l’une d’entre elles était activement exploitée. De nouvelles données ont indiqué que quatre d’entre eux pourraient faire l’objet d’une «exploitation limitée et ciblée», ce qui au début semblait un peu vague.
Maddie Stone, chercheuse sur Google Project Zero, a cherché à clarifier que ce sont en effet des défauts de 0 jour sur une liste croissante qui a été observée depuis le début de cette année.
Android a mis à jour la sécurité de mai avec des notes selon lesquelles 4 vulns ont été exploitées dans la nature.
Processeur graphique Qualcomm: CVE-2021-1905, CVE-2021-1906
GPU ARM Mali: CVE-2021-28663, CVE-2021-28664https: //t.co/mT8vE2Us74– Maddie Stone (@maddiestone) 19 mai 2021
Deux des failles affectent les GPU Qualcomm dans des centaines de chipsets, y compris les derniers compatibles 5G comme le Snapdragon 768G et le Snapdragon 888.
Les deux autres vulnérabilités affectent le pilote du noyau des GPU Arm Mali (utilisé dans des millions d’appareils Android) et son importance ne peut être sous-estimée, car elles permettent à un attaquant de prendre le contrôle total de votre téléphone.
Asaf Peleg, vice-président de la société de sécurité Zimperium, a déclaré à Ars Technica que « de l’élévation des privilèges au-delà de ce qui est disponible par défaut à l’exécution de code en dehors du bac à sable existant du processus actuel, l’appareil serait entièrement compromis et aucune donnée ne serait en sécurité ».
Les utilisateurs de Google Pixel devraient déjà pouvoir installer un correctif pour atténuer les risques, mais tout le monde devra attendre que Samsung, Motorola, Nokia, LG (qui a retiré sa division de téléphone), OnePlus et d’autres fabricants d’appareils Android publient une mise à jour pour ton téléphone. Peleg pense que ces quatre failles de sécurité ne seraient exploitées que par des acteurs parrainés par l’État cherchant à extraire les informations privées d’individus ou d’organisations de haut niveau.
Dans le même ordre d’idées, les chercheurs ont découvert que 23 applications Android exposaient les données sensibles de plus de 100 millions d’utilisateurs. L’aspect le plus inquiétant de cette violation particulière est qu’elle n’était pas le résultat de failles du système d’exploitation Android, mais de mauvaises implémentations des applications elles-mêmes et de la manière dont elles gèrent vos données.