Posté le novembre 28, 2022 à 5:09
LES FABRICANTS DE SMARTPHONES ONT LAISSÉ DES FAILLES NON CORRIGÉES PENDANT DES MOIS, SELON GOOGLE
Google a signalé que cinq failles de sécurité ayant un impact sur les smartphones Android n’ont pas été corrigées pendant plusieurs mois après avoir été portées à la connaissance des fabricants de téléphones.
L’équipe Project Zero de Google a déclaré, dans un billet de blog que la vulnérabilité avait été signalée en juin et juillet de cette année et qu’elle n’avait pas encore été corrigée. Les utilisateurs de smartphones appartenant à Google, Oppo, Xiaomi et Samsung sont donc exposés à un risque élevé de piratage.
Selon le rapport sur la situation, la vulnérabilité est liée au processeur de carte graphique (GPU) » Mali » du concepteur de semi-conducteurs ARM, que l’on retrouve dans certains types de smartphones comme le Pixel 6.
Selon Tech Circle, les problèmes ont été corrigés par ARM en août, mais les marques de téléphones comme Google et Samsung sont toujours porteuses de la vulnérabilité puisqu’elles n’ont pas encore été appliquées.
La faille pourrait entraîner une « corruption de la mémoire du noyau »
Le chercheur de Project Zero, Ian Beer, a déclaré, en commentant le développement, que la faille pourrait entraîner une « corruption de la mémoire du noyau ». En outre, elle pourrait conduire à la divulgation d’adresses de mémoire physique à un espace utilisateur non privilégié. »
Cela signifie qu’un acteur malveillant pourrait exploiter cette vulnérabilité pour prendre le contrôle total de l’appareil de l’utilisateur et accéder à toutes ses données.
Beer affirme qu’un acteur menaçant peut y avoir accès en forçant le noyau de la mémoire à lire et à écrire les pages après qu’elles aient été ramenées sur l’appareil.
Project Zero a également noté qu’aucun des fabricants de téléphones n’a parlé de ce problème dans l’un de ses bulletins de sécurité. À l’exception de Google qui a mis en garde contre la faille, les autres n’ont pas abordé publiquement la question ou indiqué comment ils souhaitent résoudre le problème.
Un porte-parole de Google, en s’adressant à Engadget, a déclaré que le correctif réalisé par ARM est toujours en cours de test pour les appareils Android et Pixel sera prêt dans les prochaines semaines. Cependant, les partenaires de l’équipementier Android devront prendre le correctif pour se conformer aux futures exigences de la SPL.
Les vulnérabilités sont des variantes de failles de sécurité actuelles
Les failles mentionnées par les chercheurs en sécurité semblent être des variantes de failles de sécurité actuelles. Dans un rapport publié en début d’année, Project Zero a indiqué que 50 % des failles zero day activement exploitées au cours du premier semestre de l’année étaient des variantes de vulnérabilités existantes.
Beer a exhorté tous les principaux fournisseurs de smartphones Android à faire ce que les consommateurs sont fréquemment invités à faire, à savoir appliquer des correctifs à leurs systèmes dès que possible. En l’état actuel des choses, les utilisateurs ne sont pas en mesure d’appliquer eux-mêmes les correctifs, en particulier pour le pilote du GPU Mali d’Arm, même si ARM a publié des correctifs pour eux il y a plusieurs mois.
Beer, ainsi que Jann Horn, un autre chercheur de GPZ, ont découvert cinq failles majeures exploitables dans le pilote du GPU Mali. Les chercheurs les ont repérés sous les numéros 2334, 2333, 2331, 2327 et 2325.
ARM a déclaré que les vulnérabilités ont été corrigées en juillet et août et que l’identifiant CVE-2022-36449 leur a été attribué sur la page des failles du pilote Mali d’ARM. Une autre faille, suivie sous le nom de CVE-2022-33917, a également été corrigée par ARM au cours de la même période.
Conformément à ses politiques, GPZ a supprimé son blocage de l’accès public à ses cinq rapports. Cela signifie que tout le monde peut désormais disposer de toutes les informations nécessaires pour créer des exploits pour les failles, ce qui exige une intervention urgente.
Heureusement, il semble que l’équipe Android et l’équipe Pixel de Google se sont mises au travail. En début de semaine, l’équipe Android s’est engagée auprès des fabricants de smartphones Android (OEM) et a demandé à ces derniers de se conformer à la politique de niveau de patch de sécurité (SPL). Cependant, les correctifs ne seront pas disponibles pour l’équipe Pixel avant quelques semaines.
Les entreprises ont été invitées à appliquer des correctifs
Les entreprises doivent également rester vigilantes et suivre de près les sources en amont. Elles doivent aussi faire de leur mieux pour fournir des correctifs complets pour les appareils des utilisateurs dès que possible.
Engadget a par ailleurs contacté Samsung, Xiaomi et Oppo pour savoir pourquoi ils n’ont pas déployé de correctifs pour les vulnérabilités et quand ils le feraient. Au moment de la rédaction de cet article, les entreprises n’ont pas encore répondu.
Bien qu’il ait été demandé aux entreprises de fournir des correctifs pour les vulnérabilités, les utilisateurs ont également leur rôle à jouer, qui est de rester vigilants et de faire une mise à jour lorsque les correctifs sont disponibles. On ne sait pas encore si les acteurs de la menace ont commencé à exploiter les vulnérabilités dans la nature.
