Les utilisateurs de smartphone Android vont devoir patienter un peu avant de pouvoir corriger la faille découverte hier dans le noyau Linux par les chercheurs de Perception Point. Dans un message Google +, le responsable sécurité Android chez Google, Andrian Ludwig, explique qu’un patch a été développé et diffusé auprès des partenaires. Il devrait arriver sur les terminaux le 1er mars prochain, soit dans plus d’un mois. Il est donc conseillé de ne télécharger que des applications de sources fiables, telles que Google Play Store.
Android 5.0 non concerné
La bonne nouvelle, toutefois, c’est que l’impact de cette faille n’est pas aussi important que prévu. Perception Point avait expliqué que « 66 % des terminaux Android » étaient vulnérables, dans la mesure où le bug sous-jacent existe depuis Android 4.4 (Kitkat). Mais selon Andrian Ludwig, le nombre d’appareils affectés est « significativement plus petit ». Ainsi, cette faille ne concernerait ni les terminaux Nexus, ni les terminaux sous Android 5.0 ou supérieur. Par ailleurs, beaucoup de terminaux sous Android 4.4 ne disposerait pas du code vulnérable. Mais l’ingénieur Google ne s’est pas aventuré, pour autant, dans une estimation.
Article publié le 20/01/2016
Plus d’un demi-milliard de terminaux Android vulnérables à une faille dans le noyau Linux
Un bug dans la gestion des clés et des certificats de sécurité permet à une application d’exécuter du code arbitraire. Un patch est disponible, mais il mettra du temps à arriver sur les différentes versions d’Android.
Mauvaise nouvelle pour les utilisateurs Android. Des chercheurs en sécurité de la société Perception Point ont découvert une faille 0day dans le noyau de Linux permettant à une application d’obtenir les privilèges administrateur sur la machine, donc d’exécuter du code arbitraire. Cette vulnérabilité (CVE-2016-0728) existe depuis 2012 et impacte les systèmes disposant d’un noyau Linux de version 3.18 ou supérieur.
Selon Perception Point, cela représente non seulement « des dizaines de millions » d’ordinateurs et de serveurs sous Linux, mais également « 66 % de tous les terminaux Android », soit largement plus d’un demi-milliard d’appareils ! Pour les premiers, la situation n’est pas catastrophique, car un patch est en train d’être diffusé au travers des principales distributions. Il est d’ores et déjà disponible pour Ubuntu, Debian et Red Hat. Les utilisateurs et les administrateurs sont invités à mettre à jour leur système dès que possible.
Ne pas installer des applis à la légère
Pour les terminaux Android, en revanche, c’est une autre paire de manches car l’utilisateur n’a pas forcément la main : les mises à jour sont généralement poussées par les opérateurs et les différents fabricants, ce qui prend plus de temps. Il faudra donc prendre son mal en patience. La bonne nouvelle, c’est que l’exploitation de cette faille nécessite d’avoir déjà un premier accès au système, soit physiquement, soit au travers d’une application que l’utilisateur aura installée. Il faut donc bien veiller à ne télécharger que des logiciels dignes de confiance.
Concrètement, la faille repose sur un bug dans la gestion des clés et des certificats de sécurité. Perception Point en fait une description détaillée, mais très technique, dans sa note de blog. Un exemple de code d’exploitation est disponible sur GitHub. A noter que la corruption du système n’est pas immédiate. Sur un ordinateur avec processeur Intel Core i7-5500, l’exploit a mis environ une trentaine de minutes pour obtenir l’accès root.
Source : Perception Point
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.