[Mise à jour: corrigée] Vulnérabilité zero-day activement exploitée trouvée dans Google Pixel, Huawei, Xiaomi, Samsung et d'autres appareils

Les chercheurs de Project Zero ont découvert une vulnérabilité de sécurité Zero Day activement exploitée qui compromet les appareils Google Pixel et autres! Continuer à lire!

Mise à jour le 10/10/19 à 3 h 05 HE : La vulnérabilité Android Zero Day a été corrigée avec le correctif de sécurité du 6 octobre 2019. Faites défiler vers le bas pour plus d’informations. L'article tel que publié le 6 octobre 2019 est conservé comme ci-dessous.

La sécurité a été l'un des principales priorités dans les récentes mises à jour Android, les améliorations et les modifications apportées au cryptage, aux autorisations et à la gestion de la confidentialité étant quelques-unes des fonctionnalités phares. D'autres initiatives telles que Projet Mainline pour Android 10 visent à accélérer les mises à jour de sécurité afin de rendre les appareils Android plus sûrs. Google a également été diligent et ponctuel avec les correctifs de sécurité, et même si ces efforts sont louables en eux-mêmes, il restera toujours des possibilités d'exploits et de vulnérabilités dans un système d'exploitation comme Android. Il s'avère que des attaquants auraient exploité activement une vulnérabilité Zero Day dans Android. cela leur permet de prendre le contrôle total de certains téléphones de Google, Huawei, Xiaomi, Samsung et autres.

Google Projet Zéro l'équipe a informations révélées à propos d'un exploit Android zero-day, dont l'utilisation active est attribuée au Groupe OSN, bien que les représentants de NSO aient nié l'utilisation du même à ArsTechnica. Cet exploit est une élévation de privilèges du noyau qui utilise un utilisation après libération vulnérabilité, permettant à l'attaquant de compromettre complètement un appareil vulnérable et de le rooter. Étant donné que l'exploit est également accessible depuis le bac à sable Chrome, il peut également être diffusé via le Web une fois terminé. est associé à un exploit qui cible une vulnérabilité dans le code de Chrome utilisé pour le rendu contenu.

En langage plus simple, un attaquant peut installer une application malveillante sur les appareils concernés et accéder au root à l'insu de l'utilisateur. Comme nous le savons tous, la route s'ouvre complètement après cela. Et comme il peut être enchaîné avec un autre exploit dans le navigateur Chrome, l'attaquant peut également livrer l'application malveillante via le navigateur Web, supprimant ainsi le besoin d'un accès physique au appareil. Si cela vous semble sérieux, c'est parce que c'est certainement le cas: la vulnérabilité a été classée « haute gravité » sur Android. Pire encore, cet exploit nécessite peu ou pas de personnalisation par appareil, et les chercheurs de Project Zero ont également la preuve que l'exploit est utilisé dans la nature.

La vulnérabilité a apparemment été corrigée en décembre 2017 dans la version Version du noyau Linux 4.14 LTS mais sans CVE de suivi. Le correctif a ensuite été incorporé dans les versions 3.18, 4.4, et 4.9 du noyau Android. Cependant, le correctif n'a pas été intégré aux mises à jour de sécurité Android, laissant plusieurs appareils vulnérables à cette faille qui est désormais suivie sous le nom de CVE-2019-2215.

La liste « non exhaustive » des appareils jugés concernés est la suivante :

  • Google-Pixels
  • Google Pixel XL
  • GooglePixel 2
  • Google Pixel 2XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • Oppo A3
  • Moto Z3
  • Téléphones LG sur Android Oreo
  • SamsungGalaxy S7
  • SamsungGalaxy S8
  • SamsungGalaxy S9

Cependant, comme mentionné, cette liste n'est pas exhaustive, ce qui signifie que plusieurs autres appareils sont également susceptibles de fonctionner. ont été affectés par cette vulnérabilité malgré des mises à jour de sécurité Android aussi récentes que celle de septembre 2019. Les Google Pixel 3 et Pixel 3 XL ainsi que les Google Pixel 3a et Pixel 3a XL seraient à l'abri de cette vulnérabilité. Les appareils Pixel concernés verront la vulnérabilité corrigée dans la prochaine mise à jour de sécurité Android d'octobre 2019, qui devrait être mise en ligne dans un jour ou deux. Un patch a été mis à disposition des partenaires Android "afin de garantir que l'écosystème Android soit protégé contre ce problème", mais voyant à quel point certains OEM sont négligents et nonchalants à propos des mises à jour, nous ne retiendrons pas notre souffle en recevant le correctif en temps opportun manière.

L'équipe de recherche de Project Zero a partagé un exploit de preuve de concept local pour démontrer comment ce bug peut être utilisé pour obtenir une lecture/écriture arbitraire du noyau lors d'une exécution locale.

L'équipe de recherche de Project Zero a promis de fournir une explication plus détaillée du bug et de la méthodologie pour l'identifier dans un prochain article de blog. ArsTechnica est d'avis qu'il est extrêmement peu probable qu'il soit exploité par des attaques aussi coûteuses et ciblées que celle-ci; et que les utilisateurs doivent toujours attendre d'installer des applications non essentielles et utiliser un navigateur non Chrome jusqu'à ce que le correctif soit installé. À notre avis, nous ajoutons qu'il serait également prudent de rechercher le correctif de sécurité d'octobre 2019 pour votre appareil et de l'installer dès que possible.

Source: Projet Zéro

Histoire via: ArsTechnica


Mise à jour: la vulnérabilité Android Zero-day a été corrigée avec la mise à jour de sécurité d'octobre 2019.

CVE-2019-2215 qui concerne la vulnérabilité d'élévation des privilèges du noyau mentionnée ci-dessus a été patché avec le Correctif de sécurité d'octobre 2019, en particulier avec le niveau de correctif de sécurité 2019-10-06, comme promis. Si une mise à jour de sécurité est disponible pour votre appareil, nous vous recommandons fortement de l'installer au plus tôt.

Source: Bulletin de sécurité Android

Via: Twitter: @maddiestone