Les smartphones Android équipés de composants Qualcomm sont concernés par un ensemble de vulnérabilités qui permettraient à un attaquant de prendre le contrôle du système.
Adam Donenfeld, chercheur en sécurité chez Check Point, a fait grand bruit dimanche à la conférence DefCon, en dévoilant les conclusions d'un livre blanc dédié à l'analyse de quatre failles de sécurité découvertes au printemps. Surnommé Quadrooter, cet ensemble concerne tous les smartphones Android équipés de composants Qualcomm. En théorie, le parc vulnérable se monterait à 900 millions d'appareils. D'après Check Point, ces quatre failles se situent au niveau des pilotes associés aux chipsets Qualcomm, et sont suffisamment sérieuses pour qu'un attaquant parvienne à prendre le contrôle complet du terminal visé, en conduisant par exemple l'utilisateur à installer une application dûment piégée.
Un porte-parole de Qualcomm a indiqué à ZDnet que la société avait déjà comblé ces quatre failles et fait parvenir les correctifs nécessaires à ses partenaires et clients constructeurs. Deux de ces rustines ont d'ailleurs été intégrées aux mises à jour mensuelles d'Android, celles que Google distribue directement sur les téléphones de la gamme Nexus. Pour les terminaux émanant de fabricants tiers, la situation est cependant plus compliquée, du fait d'un cycle de mise à jour propre à chaque marque.
Au-delà de la vulnérabilité proprement dite, c'est surtout ce processus qui interpelle les experts en sécurité. « Les mises à jour de sécurité critiques doivent passer au travers de toute la chaîne d'approvisionnement avant d'être disponibles pour les utilisateurs finaux », résume Check Point dans sa note d'information. Du fabricant de puces au mobinaute, il peut en effet s'écouler plusieurs semaines, le temps que le patch passe par Google, le fabricant du téléphone et, dans certains cas, l'opérateur mobile.
Dans sa mise à jour d'août, Google affirmait ne pas avoir eu connaissance de cas où ces vulnérabilités auraient été exploitées. La dernière des quatre failles devrait être corrigée avec la mise à jour du mois de septembre. Check Point a de son côté publié sur Google Play un outil permettant de savoir si son téléphone est concerné par Quadrooter.
Alexandre Laurent
Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech,...
Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet.
Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
