Quadrooter : 4 failles de sécurité sur des millions de Smartphones Android (Check Point)
Publié le
et mis à jour le
Rubrique Les Virus du Net
C’est l’annonce qui fait beaucoup de bruit depuis quelques heures, la société de cybersécurité Check Point a publié un rapport pointant du doigt 4 failles de sécurité présentes sur plus de 900 millions de Smartphones sous Android.
Quadrooter : 4 failles de sécurité sur Android
Quadrooter est le nom donné par la société de cybersécurité Check Point à 4 failles de sécurité présentes sur plus de 900 millions de Smartphones sous Android embarquant le processeur Qualcomm. Dans son rapport de 19 pages, l’on y retrouve la liste des Smartphones impactés par cette faille qui permet une élévation des privilèges pour un pirate qui souhaiterait prendre le contrôle du mobile. Ces failles affectent des appareils Android fabriqués par les équipementiers comme Samsung, HTC , Motorola , LG… Même les Smartphones les plus récents embarquant le processeur Qualcomm sont vulnérables comme le BlackBerry Priv, le Blackphone 1 et 2, le Google Nexus 5X, 6 et 6P, le HTC One M9 et HTC 10, le LG G4, G5 et V10, le Motorola New Moto X, le OnePlus One, 2 et 3, le Samsung Galaxy S7 et S7 Edge, le Sony Xperia Z Ultra et la liste est encore longue…Publicité
Le problème des failles sur Android, et surtout celles-ci, est la manière dont elles sont traitées en amont. Une fois que la faille a été corrigée, le patch ne se fait pas directement depuis l’éditeur du correctif, mais passe par le constructeur du Smartphone qui doit encore valider le correctif avant de le proposer en mise à jour. Et si vous avez une vieille version d’Android, pour ne pas dire un Smartphone de plus de 2 ans, il y a de grandes chances pour que le constructeur ne vous propose pas de correctif.
Quand la faille touche l’obsolescence programmée
L’illustration de cet article en est un bon exemple, nous avons réalisé le test sur un Smartphone Sony Xperia SP embarquant une puce Qualcomm MSM8960T Pro avec Android 4.3 (qu’il n’est plus possible de mettre à jour depuis des mois) et les 4 failles CVE-2016-2503, CVE-2106-2504, CVE-2016-2059 et CVE-2016-5340 sont présentes comme le montre le résultat du scan Quadrooter de notre image, application que vous pouvez retrouver sur le Play Store.Télécharger Quadrooter – Check Point
Pour savoir si votre Smartphone est touché par ces 4 failles de sécurité, rendez-vous sur le Play Store pour y télécharger l’application « QuadRooter Scanner » publiée par Check Point. Une fois l’application installée, il vous faudra valider le messager et cliquer sur le bouton pour lancer le scan et découvrir si votre Smartphone est touché, auquel cas il faudra vérifier si des mises à jour sont disponibles… ou pas.MàJ 9 août : Qualcomm nous a contacté par mail (communiqué officiel )
Suite à votre article sur mon client Qualcomm je me permets de partager avec vous le commentaire officiel ci-dessous :
« C’est une priorité pour Qualcomm Technologies, Inc. (QTI) de fournir des technologies hautement sécurisées et respectant la vie privée de ses utilisateurs. Nous avons été informés par le chercheur au sujet de ces vulnérabilités entre Février et Avril de cette année, et avons partagé les correctifs nécessaires aux quatre vulnérabilités à nos clients, partenaires et à la communauté open source entre Avril et Juillet. Les correctifs ont également été affichés sur CodeAurora. QTI continue de travailler de manière proactive à la fois en interne ainsi qu'avec des chercheurs en sécurité pour identifier et traiter les potentielles failles de sécurité.»