Les équipes d’ingénieurs dédiés à Android et à Chrome ont découvert une faille de sécurité. Celle-ci est potentiellement très importante puisqu’elle touche plusieurs smartphones très répandus dans le monde, dont des flagships de Samsung. L’information a été rendue publique par Google sur le site où sont rapportés les bugs des versions open source de Chrome et d’Android, respectivement Chromium et AOSP.
Une faille qui avait déjà été comblée
La faille de sécurité n’est pas nouvelle. Elle avait déjà été corrigée par plusieurs mises à jour du kernel d’Android datant de décembre 2017. Cependant, il semble que l’effet de ce correctif n’ait pas été conservé dans les dernières versions d’Android (9.0 Pie et 10). Plusieurs versions du Pixel 2, dotées de ces deux moutures d’Android, seraient vulnérables. Si bien qu’une faille préalablement corrigée est redevenue active récemment.
Le Pixel 2 de Google fait partie des victimes de cette faiile
De grands noms de l’écosystème d’Android sont touchés par cette faille. Samsung, Huawei, Xiaomi, LG, Motorola, Oppo et même Google avec le Pixel 2, ainsi que le premier Pixel. Les modèles concernés sont le P20 de Huawei, les Galaxy S7, Galaxy S8 et Galaxy S9 de Samsung (les déclinaisons Plus ou Edge ne sont pas notées dans la liste, mais cela ne serait pas incohérent), le Mi A1, les Redmi 5A et Redmi Note 5 (la fameuse phablette qui a tant œuvré pour la notoriété de Xiaomi en Europe), le Moto Z3, le Oppo A3, ainsi qu’un nombre inconnu de téléphones de LG (tous fonctionnant sous Oreo).
Correctif attendu avec le patch d'octobre
La vulnérabilité (re)découverte par Google à la fin du mois de septembre aurait été exploitée récemment. Mais le but de la manœuvre (vol d’information, utilisation de ressources système, etc.) n’a pas été précisé. Cependant, même si cette vulnérabilité est jugée comme importante, son efficacité serait limitée. En effet, exploiter cette vulnérabilité ne suffit pas. Il faut également installer sur le mobile visé une application vérolée qui recevra ou transmettra des informations. D’où l’importance d’installer des applications en provenance de sources sûres, comme le Play Store.
Google annonce d’ores et déjà qu’un correctif sera poussé avec la mise à jour de sécurité d’Android datée du mois d’octobre. Ainsi, les Pixel 1 et 2 seront protégés. Pour les autres marques, il faudra attendre que les constructeurs déploient leurs propres versions des mises à jour de sécurité. Certains sont prompts à les servir sur leur parc installé, comme Samsung ou LG. Pour d’autres, il faudra certainement être un peu plus patient.
