Une faille de sécurité constatée et corrigée sur Android

Selon l’annonce faite par la société de sécurité FireEye le 5 mai dernier, Android a été victime d’un problème de sécurité existant depuis au moins 5 ans. Cette faille se trouvant dans les API produits par Qualcomm pour profiter de ses SoC a été corrigée depuis le 1er mai dernier, toutefois les anciens appareils n’ont pas pu bénéficier des correctifs.

Une faille qui existe depuis environ 5 ans

La société FireEye a expliqué les détails de cette faille de sécurité sur son blog le 5 mai dernier. Selon la firme, la faille qui est codée CVE-2016-2060 est apparue lorsque Qualcomm a fourni plusieurs API permettant de joindre ses puces au réseau d’Android, netd. Ces API ont été introduites en 2011, ce qui signifie que la faille existe depuis cinq ans et a touché la majorité des appareils. Ainsi, la faille se trouve dans la plupart de toutes les versions d’Android écoulées depuis 2011, y compris dans les versions plus récentes qui n’ont pas fait l’objet de mises à jour. Et comme d’habitude, ce sont les versions les plus anciennes qui seront les plus affectées à cause de l’inexistence de certains systèmes de sécurité. En effet, ce sont les versions antérieures comme Android 4.3 qui sont les plus touchées. L’Android 4.4 est déjà doté de SEAndroid ou Security Enhancements for Android qui fournit déjà plusieurs protections. FireEye a précisé que les dispositifs sous Android 4.3 et les versions plus anciennes sont les plus vulnérables et ils peuvent ne plus jamais être mis à jour.

La gravité de l’existence de la faille

Selon les informations, la faille permet à une application qui n’a que de faibles autorisations de jouir de droits qu’elle n’est pas supposée avoir. La société FireEye a expliqué que le CVE-2016-2060 donne le droit à une application d’accéder sans autorisation à des données sécurisées et sensibles telles que l’historique des appels et les SMS. La faille permet également d’accomplir certaines actions comme la modification des réglages du système et la désactivation automatique de l’écran verrouillé.

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*