Un bug de sécurité affecte les téléphones Android de plusieurs marques

Un fallo de seguridad afecta a móviles Android de varias marcas

Cette grave faille de sécurité affecte les appareils mobiles des fabricants ASUS, Fairphone, Lenovo, Microsoft, Nokia, Nothing et Vivo

Une faille de sécurité affecte les téléphones Android de différentes marques
Des centaines de téléphones Android pourraient être en danger en raison d’une documentation insuffisante d’AOSP, le projet de code source ouvert d’Android

Android est le système d’exploitation mobile le plus utilisé au monde avec une part de marché de 71 %, ce qui fait que les cybercriminels le ciblent pour créer des logiciels malveillants qui leur permettent d’infecter le plus grand nombre de dispositifs possible et de voler les données de leurs utilisateurs, telles que leurs informations bancaires ou privées.

Mais les failles de sécurité d’Android ne sont pas toujours causées par des logiciels malveillants, car il arrive que la configuration même du système d’exploitation de Google cache une porte dérobée qui permet aux malfaiteurs de prendre le contrôle des terminaux des utilisateurs.

C’est exactement ce qui s’est récemment produit, car une fuite a révélé une faille de sécurité dans Android qui affecte des centaines de téléphones de différentes marques et qui est causée par une série de failles trouvées dans AOSP (Android Open Source Projet).

Cette faille de sécurité affecte des appareils tels que les ASUS Zenfone 9, vivo X90 Pro, Nothing Phone (2) ou Fairphone 5

Récemment, l’expert Android, Mishaal Rahman, a publié un article sur X dans lequel il révèle que l’expert en cybersécurité Tom Hebb a partagé un rapport sur le site du Red Team X de Meta dans lequel il explique qu’ils ont découvert que les appareils Android de plusieurs grandes marques « signent des modules APEX (unités mises à jour de code du système d’exploitation hautement privilégiées) en utilisant des clés privées provenant du référentiel public des sources Android ».

Il s’agit d’une faille vraiment grave, car n’importe qui peut contrefaire une mise à jour APEX pour l’un de ces terminaux et obtenir un contrôle total sur celui-ci.

En ce qui concerne la responsabilité de cette faille de sécurité, Hebb ne rejette pas la faute sur les fabricants eux-mêmes, mais sur une erreur de configuration d’AOSP, le projet de code source ouvert d’Android:

« Plutôt que par négligence d’un fabricant (OEM) en particulier, nous pensons que les valeurs par défaut non sécurisées, la documentation insuffisante et la couverture CTS incomplète dans le projet de code source ouvert d’Android (AOSP) sont les principales causes de ce problème ».

La liste complète des dispositifs qui ont pu être affectés par cette faille de sécurité est la suivante :

  • ASUS Zenfone 9
  • vivo X90 Pro
  • Nokia G50
  • Microsoft Surface Duo 2
  • Lenovo Tab M10 Plus
  • Nothing Phone (2)
  • Fairphone 5

Une faille de sécurité affecte des téléphones Android de différentes marques

Voici les téléphones concernés par la récente faille de sécurité découverte sur Android

Quoi qu’il en soit, si vous possédez l’un de ces appareils, ne vous inquiétez pas, car, comme l’explique Rahman, cette faille de sécurité est difficile à exploiter par de véritables attaquants et la plupart des fabricants concernés ont déjà résolu ce problème avec le correctif de sécurité de décembre 2023.