Une faille figurant dans un nombre considérable de smartphones Android permet à des applications d’accéder au contrôle total du système d’exploitation.

La sécurité du système d’exploitation Android est une source régulière d’inquiétude et mobilise constamment l’attention des spécialistes, qui scrutent sans relâche l’OS open source porté par Google afin d’y déceler des vulnérabilités.

Si celles-ci ne manquent pas — les récents correctifs publiés par la firme de Mountain View sont là pour le prouver –, elles sont néanmoins corrigées avec une relative célérité. Toutefois, une faille repérée depuis un certain temps est parvenue à passer entre les mailles du filet. Et pour ne rien arranger, celle-ci s’avère très sérieuse.

Toute la gamme Nexus est concernée

Depuis 2014, une vulnérabilité permettait à une application d’accéder aux privilèges root sur un grand nombre de téléphones Android, dont toute la gamme Nexus. Sur un téléphone rooté, il est possible d’accéder au contrôle total du système d’exploitation et ainsi effectuer des actions normalement bloquées par le constructeur pour des raisons de sécurité.

En l’occurrence, avec cette brèche, une application pouvait accéder à des fonctionnalités bloquées de l’OS et installer du code malveillant. « Une vulnérabilité du noyau qui permet l’élévation des privilèges pourrait permettre à une application nuisible d’exécuter du code arbitraire [sans l’accord du propriétaire, nlr] dans le noyau », explique Google.

Les noyaux Linux 3.4, 3.10 et 3.14 sont touchés, mais ceux plus récents (à partir de 3.18) sont hors de danger.

Cette faille a été identifiée depuis février 2015 sous la référence CVE-2015-180 et un patch est en préparation depuis le mois dernier, après la notification envoyée à Google par la CORE Team, un regroupement d’experts en sécurité informatique. En mars, Zimperium, une startup également spécialisée dans ce domaine, a notifié Google de la présence d’une application profitant de cette faille sur le Google Play.

Dans son bulletin de sécurité, Google explique que l’application en question a été retirée du Google Play. « Les clients qui installent une application qui cherche à exploiter cette faille prennent des risques. Les applications de root sont interdites sur le Google Play et nous allons bloquer l’installation de cette application en dehors du Google Play grâce à la vérification d’applications », tranche l’entreprise.

Cela étant dit, un utilisateur qui aurait désactivé la vérification d’application peut  toujours installer manuellement une application profitant de l’exploit sur son appareil via le fichier APK ou sur un magasin d’application alternatif.

Pour corriger ce problème, Google va déployer un patch sur l’ensemble de la gamme Nexus dans les prochains jours. Celui-ci a été transmis aux différents constructeurs, mais à cause de la fragmentation d’Android, il pourrait se passer plusieurs semaines, voire mois, avant que les fabricants n’appliquent le correctif sur leurs appareils.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !