Google déploie la mise à jour pour aborder deux bogues Android Zero-Day

Votre téléphone Android pourrait être à risque. Les chercheurs en sécurité ont découvert quelques défauts sérieux que les pirates ont exploité activement. Vous voudrez faire attention à cela.

Google a récemment déployé une mise à jour urgente d'Android pour aborder une paire de ce que l'on appelle des «vulnérabilités de jour zéro». Ce ne sont pas seulement des insectes de routine – ce sont des trous de sécurité qui étaient auparavant inconnus des développeurs et, pire, ceux qui ont déjà été utilisés pour compromettre potentiellement les appareils Android dans la nature. La société elle-même a reconnu que ces défauts « peuvent être sous une exploitation limitée et ciblée », ce qui devrait lever certains sourcils.

L'une de ces vulnérabilités critiques, connue sous le nom de «CVE-2024-53197», a été mise en lumière grâce à une collaboration entre Amnesty International et Benoît Sevens du groupe d'analyse des menaces de Google. Cette équipe particulière de Google garde un œil sur les cyberattaques qui semblent être soutenues par les gouvernements. Les résultats d'Amnesty International ont révélé que Cellebrite, une entreprise connue pour avoir vendu des outils de déverrouillage de téléphone et d'analyse médico-légale pour les forces de l'ordre, exploitait une chaîne de trois vulnérabilités zéro jour pour obtenir un accès non autorisé aux appareils Android.

Cette vulnérabilité aurait été utilisée contre un militant étudiant serbe. L'organisation affirme que les autorités locales ont exploité ce défaut de sécurité pour cibler leur appareil. Ceci est un exemple réel de la gravité de ces vulnérabilités zéro jour.

Nous ne savons pas autant sur la deuxième vulnérabilité patchée («CVE-2024-53150»). Il a également été découvert par Benoît Sevens de Google, et ce défaut particulier résidait dans le noyau, qui est le cœur du système d'exploitation Android. Une vulnérabilité à ce niveau peut permettre aux attaquants de prendre un contrôle approfondi sur un appareil affecté.

Google n'a pas encore fourni d'autres commentaires sur ces vulnérabilités spécifiques. Amnesty International n'a pas non plus d'informations supplémentaires à partager pour le moment. Cependant, la gravité de la situation ressort clairement des conseils de sécurité de Google.

La plus grave de ces problèmes est une vulnérabilité de sécurité essentielle dans le composant système qui pourrait entraîner une escalade à distance de privilèges sans aucun privilège d'exécution supplémentaire nécessaire. L'interaction utilisateur n'est pas nécessaire pour l'exploitation.

Cette dernière phrase est la plus préoccupante. Cela signifie qu'un acteur malveillant pourrait potentiellement compromettre votre appareil sans même cliquer sur un lien suspect ou installer une application nocive.

Google a déclaré qu'il repousserait les correctifs de code source pour ces deux jours zéro critiques dans les 48 heures suivant leur avis. Bien que ce soit une bonne nouvelle, il devra toujours passer par la routine habituelle pour accéder à votre appareil. Parce qu'Android est un système d'exploitation open source, la responsabilité incombe aux fabricants de téléphones pour prendre ces correctifs et les intégrer dans leurs propres mises à jour logicielles pour leurs appareils spécifiques.

Google a donné à ses partenaires Android une affaire sur ces problèmes au moins un mois avant la divulgation publique. Cela devrait donner aux fabricants le temps de préparer et de déployer des mises à jour de leurs clients. Cependant, c'est la meilleure supposition de tout le monde quand ils seront réellement disponibles.

Alors, que devez-vous faire? La seule chose que vous pouvez vraiment faire est de vous assurer que votre appareil Android est mis à jour vers la dernière version du logiciel disponible et installer toutes les mises à jour dès que possible. En attendant, c'est toujours une bonne pratique d'être prudent quant aux liens que vous cliquez et aux applications que vous installez, même si, dans ce cas particulier, aucune interaction utilisateur n'était nécessaire pour la vulnérabilité plus grave.