Google annonce une vulnérabilité Android »zero-day » affectant plus de 100 millions d’appareils

Si vous possédez un appareil Samsung ou Pixel plus ancien, il y a de fortes chances que votre appareil soit vulnérable à une vulnérabilité jour-zéro exploitée par les pirates. Google a annoncé que le bogue du système affecte des appareils spécifiques fonctionnant sous Android 8.x ou supérieur, y compris les smartphones Pixel 1 et Pixel 2 de Google, ainsi que les appareils Galaxy S7, 8 et 9 de Samsung, laissant plus de 100 millions d’utilisateurs Android vulnérables à une attaque. Ce qui est le plus étonnant, c’est que ce bogue exact a été découvert et corrigé en décembre 2017, mais qu’il a été en quelque sorte exclu des futures versions logicielles pour une liste sélective de périphériques.

Le point positif est que la vulnérabilité n’est pas aussi grave que les vulnérabilités antérieures du jour zéro qui ont été découvertes au fil des ans. La vulnérabilité ne permet pas l’exécution de code à distance (RCE), ce qui signifie que les applications malveillantes doivent être installées pour pouvoir en tirer profit. Il a été rapporté que le groupe des OSN d’Israël a profité de cette vulnérabilité dans le passé :  » Ce problème est classé comme très grave sur Android et nécessite en soi l’installation d’une application malveillante pour une exploitation potentielle. Tous les autres vecteurs, tels que via un navigateur web, nécessitent un enchaînement avec un exploit supplémentaire », a déclaré un porte-parole du projet Android Open Source.

A découvrir également : Google Duplex trouvé sur Galaxy S10+, peut être déployé sur des périphériques non-Pixel.

La vulnérabilité Android a été découverte par l’équipe du Projet Zéro de Google et a été divulguée dans les 7 jours, suivant les propres directives de divulgation de l’équipe. Les fabricants des dispositifs concernés ont tous déjà été notifiés et devraient être en mesure de remédier à la vulnérabilité avec un correctif lors de leur prochaine mise à jour de sécurité. Google prévoit de corriger le problème avec son correctif de sécurité Octobre pour le Pixel 1 et Pixel 2, mais nous devrons attendre de voir combien de temps il faudra à Samsung et les autres fabricants pour traiter la vulnérabilité.

Dispositifs Android affectés

  • Pixel 1
  • Pixel 2 avec Android 9 et Android 10 preview
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Téléphones Oreo LG
  • Samsung S7, S8, S9

Source : Android Project Zero via Engadget

A découvrir également : OnePlus taquine la télécommande de son prochain téléviseur