Maddie Stone du Google Project Zero, une équipe en charge de dénicher partout, y compris chez les concurrents, des bogues de sécurité, a découvert une vulnérabilité jour zéro dans Android, le 27 septembre.
Une vulnérabilité jour zéro (ou zero-day, 0-day) est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu : aucune protection n’existe au moment de sa découverte.
Dans le cas présent, il s’agit d’un bogue de type « use-after free » : l’utilisation incorrecte de mémoire précédemment libérée. Ici, dans la structure de données d’un fil d’exécution.
On peut l’exploiter pour obtenir le contrôle complet du système. Heureusement, on ne peut l’exploiter à distance : il faut installer une application malicieuse sur l’appareil. C’est pourquoi sa sévérité est jugée haute, et non critique.
Ironiquement, ce bogue fut corrigé en décembre 2017 dans les versions 3.18, 4.14 et 4.9 de Android. Il est réapparu depuis.
Comme il est acquis que la vulnérabilité est activement exploitée par des organisations malveillantes, le délai de divulgation, typiquement de 90 jours, a été réduit à 7 jours.
Voici la liste non exhaustive des ordiphones vulnérables :
1) Google Pixel 1 & 2
2) Huawei P20
3) Xiaomi Redmi 5A
4) Xiaomi Redmi Note 5
5) Xiaomi A1
6) Oppo A3
7) Moto Z3
8) Appareils LG sous Android Oreo
9) Samsung S7, S8, S9
Malheureusement, la vulnérabilité nécessite peu ou aucune adaptation à un modèle de téléphone particulier, elle doit donc fonctionner sur un grand nombre de modèles.
Un correctif est disponible pour l’Android Common Kernel. Il sera distribué par Google pour ses propres téléphones lors de la mise à jour d’octobre.
Les autres fabricants de téléphones doivent encore le distribuer à leurs clients.
D’après le Google Threat Analysis Group (TAG), qui analyse les menaces en temps réel, la vulnérabilité aurait été développée, ou serait vendue par le NSO Group.
Le NSO Group est une entreprise israélienne sulfureuse qui vend des vulnérabilités jour zéro au plus offrant, et qui travaille aussi avec les États, les services de renseignements et les forces de l’ordre.
L’entreprise nie être impliquée, mais son historique peu reluisant invite à prendre une telle dénégation avec détachement.
Le NSO Group a ainsi développé un logiciel ultime d’espionnage et de vol de données, Pegasus, pour iOS et Android, ainsi qu’un exploit pour WhatsApp qui s’installe sans que l’utilisateur en ait conscience, ou ait à effectuer une quelconque action.
Ils furent notamment exploités par les Émirats arabes unis contre des dissidents politiques exilés.