Des pirates inconnus exploitent quatre vulnérabilités Android qui permettent l’exécution de code malveillant pouvant prendre le contrôle complet des appareils, a averti Google mercredi.
Les quatre vulnérabilités étaient divulgué il y a deux semaines dans le bulletin de sécurité Android de Google pour mai. Google a publié des mises à jour de sécurité pour les fabricants d’appareils, qui sont ensuite responsables de la distribution des correctifs aux utilisateurs.
Dans un premier temps, le bulletin Google du 3 mai n’indiquait pas que l’une des quelque 50 vulnérabilités couvertes était sous exploitation active. Mercredi, Google a mis à jour l’avis pour indiquer qu’il existe des «indications» selon lesquelles quatre des vulnérabilités «pourraient faire l’objet d’une exploitation limitée et ciblée». Maddie Stone, membre du groupe de recherche sur les exploits Project Zero de Google, a levé l’ambiguïté. Elle déclaré sur Twitter que les «4 vulnes ont été exploitées dans la nature» comme des jours zéro.
Android a mis à jour la sécurité de mai avec des notes selon lesquelles 4 vulns ont été exploitées dans la nature.
Processeur graphique Qualcomm: CVE-2021-1905, CVE-2021-1906
GPU ARM Mali: CVE-2021-28663, CVE-2021-28664https://t.co/mT8vE2Us74– Maddie Stone (@maddiestone) 19 mai 2021
Contrôle complet
Les exploits réussis des vulnérabilités «donneraient un contrôle complet du point de terminaison mobile de la victime», a déclaré Asaf Peleg, vice-président des projets stratégiques pour la société de sécurité Zimperium, dans un e-mail. « De l’élévation des privilèges au-delà de ce qui est disponible par défaut à l’exécution de code en dehors du bac à sable existant du processus actuel, l’appareil serait entièrement compromis et aucune donnée ne serait en sécurité. »
Jusqu’à présent, quatre vulnérabilités Android zero-day ont été divulguées cette année, contre une pour l’ensemble de 2020, selon les chiffres de Zimperium.
Deux des vulnérabilités se trouvent dans le processeur Snapdragon de Qualcomm, qui alimente la majorité des appareils Android aux États-Unis et un grand nombre de combinés à l’étranger. CVE-2021-1905, lors du suivi de la première vulnérabilité, est une faille de corruption de la mémoire qui permet aux attaquants d’exécuter du code malveillant avec des privilèges root illimités. La vulnérabilité est classée comme grave, avec une note de 7,8 sur 10.
L’autre vulnérabilité, CVE-2021-1906, est une faille logique qui peut provoquer des échecs dans l’allocation de nouvelles adresses mémoire GPU. L’indice de gravité est 5.5. Souvent, les pirates enchaînent deux exploits ou plus pour contourner les protections de sécurité. C’est probablement le cas avec les deux défauts Snapdragon.
le deux autres vulnérabilités sous attaque résident dans les pilotes qui fonctionnent avec les processeurs graphiques ARM. CVE-2021-28663 et CVE-2021-28664 sont également des failles de corruption de la mémoire qui permettent aux attaquants d’accéder à la racine sur des périphériques vulnérables.
Aucun conseil exploitable de Google
Il n’y a pas d’autres détails sur les attaques dans la nature. Les représentants de Google n’ont pas répondu aux e-mails demandant comment les utilisateurs peuvent savoir s’ils ont été ciblés.
La compétence requise pour exploiter les vulnérabilités a conduit certains chercheurs à supposer que les attaques sont probablement le travail de pirates informatiques soutenus par un État-nation.
«La complexité de ce vecteur d’attaque mobile n’est pas inconnue, mais est en dehors des capacités d’un attaquant ayant une connaissance rudimentaire ou même intermédiaire du piratage des terminaux mobiles», a déclaré Peleg. « Tout attaquant utilisant cette vulnérabilité le fera probablement dans le cadre d’une campagne plus large contre un individu, une entreprise ou un gouvernement dans le but de voler des informations critiques et privées. »
On ne sait pas exactement comment quelqu’un exploiterait les vulnérabilités. L’attaquant pourrait envoyer des messages texte malveillants ou inciter des cibles à installer une application malveillante ou à visiter un site Web malveillant.
Sans plus d’informations exploitables de Google, il est impossible de fournir des conseils utiles aux utilisateurs d’Android, sauf pour leur dire qu’ils doivent s’assurer que toutes les mises à jour ont été installées. Ceux qui utilisent des appareils Android de Google recevront automatiquement des correctifs lors du déploiement de la sécurité en mai. Les utilisateurs d’autres appareils doivent vérifier auprès du fabricant.