Google déploie fréquemment des correctifs sur Android et la firme a remis le couvert en fin de semaine dernière avec un nouveau patch. Il vient corriger une cinquantaine de bugs et pas moins de huit failles critiques. Pour le moment, seuls les Nexus peuvent profiter de ces correctifs. Il faudra en effet attendre que les constructeurs le déploient sur les terminaux de leur flotte pour que ces failles soient comblées.
Parmi ces huit failles, on en trouve deux qui rendent nos téléphones et nos tablettes extrêmement vulnérables.
La première a été trouvée par Tim Strazzere, un chercheur travaillant depuis plusieurs années pour l’entreprise Sentinel One.
8 failles critiques, dont deux très dangereuses
Elle se situe au niveau des données EXIF des images et elle permet à un hacker d’attaquer et d’infecter un terminal en s’appuyant sur une simple image JPEG envoyée par courrier électronique ou même par message instantané.
D’après les informations communiquées par ce chercheur, la faille touchait la librairie “ExifInterface”, une librairie utilisée pour accéder aux métadonnées de toutes les images. Le pire reste à venir, car aucune action de l’utilisateur n’était requise pour amorcer l’attaque et il suffit ainsi que ce dernier ouvre le fichier dans une de ses applications pour que le code malicieux se charge dans la mémoire de l’appareil. Pour ne rien arranger, toutes les versions de la plateforme supérieures à la 4.2 étaient touchées.
La seconde faille a été découverte par Marc Brand, un ingénieur travaillant pour le fameux Google Project Zero. Elle se trouvait dans une autre librairie cette fois, une librairie appelée “libutils” et elle touchait la fonction gérant la conversion de chaînes Unicode.
Les failles ont été corrigées sur les Nexus
Il suffisait ainsi de faire en sorte qu’une cible tombe sur une chaîne de caractères à convertir pour attaquer son terminal à son insu. Cette fois, la plupart des versions de la plateforme étaient concernées.
Les autres failles étaient aussi dangereuses puisqu’elles permettaient à un utilisateur malveillant de récupérer des privilèges sur le système ou même d’accéder à un noyau de sous-système réseau sur le terminal attaqué.
Comme indiqué un peu plus haut, Google a déployé un patch la semaine dernière sur les Nexus afin de corriger toutes ces failles. Et les appareils des autres marques, alors ? Il faudra tout simplement attendre que les constructeurs intègrent ces correctifs à leurs propres patchs et qu’ils les déploient sur les terminaux de leur flotte.
Ce qui risque de leur prendre plusieurs semaines, ou quelques mois.