Nouvelle vulnérabilité identifiée dans le noyau Android

Une vulnérabilité de type Use-After-Free (réutilisation d’une valeur après la libération de son espace d’adressage mémoire) a été identifiée dans le noyau Android.

Cette vulnérabilité permet une exécution de code arbitraire au niveau noyau et permet une élévation de privilège ou une compromission complète de l’appareil vulnérable.

La vulnérabilité CVE-2019-2215, identifiée par la chercheuse en sécurité pour Project Zero (Google) Maddie Stone, avait déjà fait l’objet d’un patch sécurité dans la version 4.4 (LTS) du noyau Linux fin 2017 mais sans faire l’objet de CVE, ainsi que dans les versions 3.18, 4.4 et 4.9 du noyau Android.

Cependant, les constructeurs ne s’appuyant pas directement sur les dépôts AOSP (Android Open Source Project – Projet opensource du noyau Android), la vulnérabilité reste présente sur de nombreuses versions d’Android y compris sur les Pixel 2 de Google ou les Galaxy S9 de Samsung.

La société israélienne « NSO Group », se présentant comme un leader mondial dans le domaine de la cyberintelligence, l'acquisition et l'analyse de données, serait à l’origine d’une exploitation active de cette vulnérabilité.

Un patch a été mis en place sur le « Android Common Kernel » (noyau Android faisant l’objet de support longue durée) et les partenaires Android de Google ont été informés. Cette modification devrait être prise en compte dans la mise à jour de sécurité Android d'octobre.

Informations
+

Risques

  • Elévation de privilèges

Criticité

  • Score CVSS : Aucun score CVSS n’a encore été attribué

Existence d’un code d’exploitation de la vulnérabilité

Composants & versions vulnérables

La liste non exhaustive des téléphones vulnérables contient notamment les téléphones :

  • Pixel 2 sous Android 9 ou Android 10 preview ;
  • Huawei P20 ;
  • Xiaomi Redmi 5A ;
  • Xiaomi Redmi Note 5 ;
  • Xiaomi A1 ;
  • Oppo A3 ;
  • Moto Z3 ;
  • LG utilisant Android Oreo (Android 8) ;
  • Samsung S7, S8, S9.

CVE

·         CVE-2019-2215


Recommandations
+

Mise en place de correctif de sécurité

  • Le patch de sécurité a été  déployé sur le « Android Common Kernel » et devrait être inclus dans les mises à jour de sécurité d’Octobre.

Solution de contournement

  • Bien qu’aucune solution de contournement officielle n’existe, il est recommandé :
    • De n’utiliser que des applications issues du Play Store Android ;
    • De rester prudent lors des navigations internet.