Que souhaitez-vous savoir
- Google a découvert une faille de sécurité dans Android permettant l'exécution de code à distance, qu'il a décrite comme une « vulnérabilité de sécurité critique ».
- La vulnérabilité est ce que l’on appelle une faille « zéro clic », ce qui signifie qu’elle ne nécessite aucune interaction pour être exploitée.
- Google fournit un correctif aux OEM via le projet Android Open Source, mais il appartiendra à chaque fabricant de téléphones de fournir des mises à jour à ses smartphones.
Google a découvert une « vulnérabilité de sécurité critique » dans Android qui permet à un pirate informatique à distance d'exécuter du code sur votre téléphone, a-t-il déclaré en décembre. Bulletin de sécurité Android. La société a déjà fourni un correctif aux fabricants de téléphones Android, mais chaque OEM devra envoyer sa propre mise à jour pour corriger la faille de sécurité.
Le bug a été attribué CVE-2023-40088 dans le Base de données nationale sur la vulnérabilité, qui fournit plus d’informations. Selon le rapport NVD, le problème apparaît lorsque le téléphone Android tente d'exécuter un
callback_thread_event de com_android_bluetooth_btservice_AdapterService.cpp. Au cours de cette action, il est possible que la mémoire soit corrompue avec une vulnérabilité d'utilisation après libération.Essentiellement, ce problème amène les téléphones Android à accéder com_android_bluetooth_btservice_AdapterService.cpp sans autorisation après que la mémoire du système ait déjà été libérée. Cela pourrait permettre à un pirate informatique distant d'accéder à un téléphone Android, exécutant du code sans aucune action de l'utilisateur nécessaire.
Bien que cette faille puisse être exécutée à distance, il convient de noter qu’un attaquant potentiel doit être relativement proche de vous pour que cela fonctionne. Il peut être exploité via une connexion sans fil Wi-Fi, Bluetooth ou NFC.
Google a envoyé un correctif pour les versions Android 11, 12, 12L, 13 et la dernière Android 14 à travers le Projet Open Source Android. Vraisemblablement, cela signifie que les téléphones Android sur ces versions sont affectés par le bug. Étant donné que ce problème permet l’exécution de code à distance sans aucune interaction de l’utilisateur, il s’agit de l’un des types de vulnérabilités de sécurité les plus graves.
Ni Google ni le NVD ne précisent si le bug a été activement exploité dans la nature. Habituellement, cela serait indiqué dans le cas où une faille de sécurité aurait été exploitée, mais nous n'en sommes pas sûrs. Google n'a pas ajouté de contexte supplémentaire pour la vulnérabilité, ce qui était normal. La société ne fournira probablement pas plus d'informations tant que le problème n'aura pas été corrigé et que la majorité des appareils actifs n'auront pas été mis à jour.
Cependant, étant donné que le correctif sera publié via l'AOSP, vous ne verrez pas de mise à jour immédiatement. La mise à jour sera envoyée dans les prochains jours, mais chaque OEM Android devra ensuite envoyer le correctif. Les téléphones Pixel pourraient être les premiers à recevoir le correctif, mais les délais peuvent varier pour les autres marques.
Compte tenu de la gravité de ce problème, gardez un œil sur une mise à jour de sécurité ce mois-ci si vous utilisez un smartphone Android.