Google annonce que de nombreuses vulnérabilités concernant Android bénéficient désormais d'un correctif de sécurité. En tout, l'entreprise américaine est intervenue sur 71 failles avec ses partenaires industriels.

C’est un bulletin de sécurité particulièrement étoffé que vient de présenter Google, le 2 mars. Pour ce mois-ci, l’entreprise californienne annonce des correctifs pour un total de 71 vulnérabilités, dont la majorité concerne des failles du haut du spectre, c’est-à-dire sérieuses ou critiques. En effet, seules 3 failles sont considérées comme moyennement dangereuses par la firme de Mountain View.

Ce bulletin de sécurité mensuel dédié à Android pourrait en réalité être renommé au nom de Qualcomm, tant l’équipementier américain est mentionné. On trouve en effet son nom dans 48 des 71 problèmes relevés. La forte présence de Qualcomm n’est en fait pas une surprise, puisqu’il fournit de nombreux composants à l’industrie du smartphone, comme des systèmes sur puce et des modems.

Il est aussi fait mention de six vulnérabilités ayant trait au mécanisme de déverrouillage des smartphones par empreinte digitale (FPC Fingerprint TEE), qui est fourni par la société suédoise Fingerprints. « La vulnérabilité la plus grave pourrait permettre à une application malveillante locale de contourner les exigences d’interaction de l’utilisateur afin d’accéder à des autorisations supplémentaires », commente Google.

La vague de correctifs couvre aussi des vulnérabilités ayant trait à la connexion USB. // Source : Numerama

Des failles concernant la connexion USB

Les autres incidents traités par Google et ses partenaires concernent entre autres la connexion USB — un attaquant pourrait exécuter du code malveillant grâce à un appareil piégé, connecté en USB. L’attaque est toutefois difficile, note le groupe, car elle nécessite un accès physique pour réussir. Un souci a aussi été résolu au niveau des mises à jour du système Google Play, dans le cadre du projet Mainline.

Quant à Android lui-même, les vulnérabilités portent sur les version 8 à 10 du système d’exploitation et peuvent aboutir à une atteinte à la confidentialité des données, à une élévation de privilèges, qui permet à un assaillant de rentrer dans des sections normalement protégées, ou encore au déclenchement d’un code malveillant à distance pour altérer le smartphone.

Pour classer les failles selon leur niveau de gravité, l’entreprise américaine se fonde sur « l’effet que l’exploitation de la vulnérabilité pourrait avoir  ». Dans les paramètres dont elle tient compte, on trouve les mesures d’atténuation, si elles existent, la manière dont une attaque est conduite, sa complexité, la nécessité d’avoir un accès facilité ou de pousser la victime à réaliser une action bien précise.

Google rappelle qu’il prévient systématiquement ses partenaires industriels avec plusieurs semaines d’avance avant la publication de ce bulletin, afin qu’ils aient le temps de prendre les mesures adéquates. Dans les faits cependant, il faut parfois attendre des semaines ou des mois afin qu’un correctif ne soit mis à disposition du public. Cela dépend en effet de la politique de chaque fabricant de smartphones.

Le détail du bulletin est consultable à cette adresse.

Partager sur les réseaux sociaux