Une vulnérabilité critique de sécurité Qualcomm permet aux hackers de prendre le contrôle à distance des smartphones Android

Des millions de smartphones Android équipés des puces Qualcomm les plus vendues sont vulnérables au piratage. Cela a été révélé par l’équipe rouge de la société de cybersécurité Mandiant, qui a découvert une vulnérabilité répandue affectant les appareils Android avec des puces Qualcomm, les rendant susceptibles au piratage.

Les chercheurs de l’équipe rouge ont déclaré que la vulnérabilité existait depuis 2011, car des API vulnérables — que quelqu’un utilisait — ont été observées dans un dépôt Git de cette époque. Cela rend particulièrement difficile le patchage de tous les appareils affectés, a déclaré la société dans un communiqué.

Le défaut, qui est le plus sévère dans les versions Android 4.3 et antérieures, permet aux applications à faibles privilèges d’accéder à des données sensibles qui sont censées être inaccessibles, selon un article de blog publié par la société de sécurité FireEye. Bien que le défaut puisse fonctionner sur Android 4.3, les hackers peuvent l’utiliser pour attaquer des appareils vulnérables fonctionnant sous Android 4.4 ou supérieur. Dans ce cas, une application malveillante peut modifier furtivement des propriétés sensibles du système d’exploitation. Les attaquants combinent souvent de telles exploitations avec une exploitation de gravité similaire pour augmenter la puissance de l’attaque.

Les chercheurs de FireEye ont déclaré que la vulnérabilité pouvait également être exploitée par des hackers potentiels pour obtenir un accès physique à un appareil déverrouillé. Indexé comme CVE-2016-2060, le bug a été introduit pour la première fois lorsque le fabricant de puces mobiles Qualcomm a publié un ensemble d’interfaces de programmation pour un service système connu sous le nom de « network_manager » et plus tard le démon « netd ».

La vulnérabilité existe dans un package logiciel maintenu par Qualcomm qui est disponible sur le Code Aurora Forum (publié comme CVE-2016-2060 et avis de sécurité QCIR-2016-00001-1) et permet une élévation de privilèges locale à l’utilisateur radio intégré. Un attaquant peut exploiter le défaut pour obtenir un accès physique à un appareil déverrouillé et également installer une application malveillante sur l’appareil à volonté.

« Sur les anciens appareils, l’application malveillante peut extraire la base de données SMS et la base de données des appels téléphoniques, accéder à Internet et effectuer toutes les autres capacités autorisées par l’utilisateur radio », a déclaré la société.

La vulnérabilité semble affecter tous les appareils Android avec des puces Qualcomm et fonctionnant avec du code Qualcomm. Qualcomm étant l’une des puces les plus populaires, de nombreux smartphones phares de Samsung, HTC pourraient être vulnérables à cette attaque. FireEye affirme que le bug pourrait avoir une portée étendue et aurait pu affecter des centaines d’appareils au cours des cinq dernières années.

De son côté, Qualcomm a abordé le problème en publiant un correctif logiciel début mars 2016. « Les OEM devront maintenant fournir des mises à jour pour leurs appareils ; cependant, de nombreux appareils ne seront probablement jamais patchés », a déclaré le rapport.

Le problème avec les smartphones Android est qu’il y a des centaines de fabricants et, à part quelques grands fabricants, beaucoup ne prennent pas la peine de publier des correctifs pour leurs utilisateurs. De plus, Android a tellement de versions en cours d’exécution, allant d’Android Ice Cream Sandwich à Android Marshmallow, qu’il est pratiquement impossible de publier un correctif commun pour tous.

FireEye affirme que le bug est très critique car un utilisateur ne saura pas que son smartphone Android est piraté même après que le hacker potentiel prenne le contrôle du smartphone et espionne silencieusement la victime. « Il n’y a aucun impact sur les performances ou risque de faire planter l’appareil », a ajouté le rapport.

La vulnérabilité a été corrigée dans le correctif de sécurité Android que Google a publié le 1er mai. Un représentant de Google a déclaré que les appareils Nexus n’avaient jamais été affectés.