Un bon exemple est le bulletin de sécurité du mois d’août 2019, qui comporte 26 failles de niveau CVE, et qui se compose de 5 failles signalées comme critiques et 20 failles de priorité élevée.
C’est un patch considérablement plus léger que ces derniers mois. Cependant, une étude plus approfondie de ces mises à jour Android révèle que deux des failles critiques pourraient permettre à un attaquant de compromettre le noyau du système Android over-the-air (OTA) via de nombreuses interfaces SoC (System-on-Chip) WLAN de Qualcomm, y compris celles concernant les composants 835 et 845 bien connus.
‘QualPwn’
En général, les utilisateurs Android reçoivent le correctif avec très peu d’explications. Cependant, ce mois-ci, la société qui a découvert ces problèmes, l’équipe Tencent’s Blade, a décidé de les publier sous le nom “QualPwn”.
Les deux plus importantes sont identifiées sous les noms CVE-2019-10539 et CVE-2019-10540. La première pourrait, dans certaines circonstances, permettre à un attaquant de “compromettre le WLAN et le modem over-the-air”, tandis que la seconde autoriserait une compromission du noyau sur la même interface.
Celles-ci sont dangereuses car elles pourraient être exploitées en envoyant un fichier spécialement conçu aux périphériques vulnérables sans intervention de l’utilisateur.
Une troisième faille, CVE-2019-10538, est considérée comme moins grave mais pourrait également rendre possible la compromission du noyau.
Le facteur atténuant est que l’attaquant en question doit lancer une attaque via le même réseau Wi-Fi que la cible, signifiant ainsi qu’elle ne peut pas être exploitée à distance via Internet.
Tencent a déclaré avoir découvert les problèmes en mars 2019 et Google a informé les fournisseurs début juin 2019.
Qui est affecté ?
Les appareils équipés d’un SoC Qualcomm représentent un pourcentage élevé d’appareils haut de gamme au cours des dernières années, notamment le 845 du Galaxy S9 de Samsung, la ligne Pixel 3 de Google, ainsi que des modèles d’OnePlus, Xiaomi, LG, Asus et Sony ainsi que d’autres modèles (des modèles plus anciens mais équivalents chez les mêmes fournisseurs, par exemple Google Pixel 2, utiliseront probablement le 835).
Cependant, alors que Tencent a déclaré ne pas avoir testé tous les SoC Qualcomm, Qualcomm a publié un avis qui répertorie de nombreux composants du SoC qui semblent couvrir une grande partie du marché.
Tencent a déclaré qu’il ne divulguerait pas les détails des failles critiques avant d’être :
sûr que les failles aient bien été corrigées et que les consommateurs ont eu le temps d’installer les mises à jour Android de sécurité sur leurs appareils.
Bizarrement, Tencent a également précisé qu’il avait l’intention de révéler plus de détails au sujet de ces failles dans une présentation durant la conférence Black Hat à venir, suivi par une présentation similaire lors de la prochaine DEF CON 27 à Paris.
Étant donné que les appareils Android non-Google peuvent attendre des mois avant de recevoir les mises à jour Android publiées, vous pouvez effectivement attendre un bon moment avant que ces correctifs ne vous parviennent, à moins que des exploits ne soient signalés entre-temps (ce qui n’a pas été le cas jusqu’à présent).
Vérification des mises à jour
Selon la version d’Android, le niveau de correctif d’un appareil (2019-07-01 ou 2019-07-05) peut être déterminé dans Paramètres> À propos du téléphone> Informations sur le logiciel/Niveau correctif sécu. Android
Sous Android 9, sélectionnez Paramètres> Système> Paramètres Avancés> Mises à jour du système.
Si vous utilisez un appareil Google Pixel, vous devriez voir que les dernières mises à jour Android ont été installées début juillet 2019. Pour les autres appareils, cela pourrait remonter à début 2019 !
Billet inspiré de Latest Android patches fix critical ‘QualPwn’ Wi-Fi flaws, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.