Android : une faille critique lorsque le Bluetooth est activé
Un correctif publié par Google permet de divulguer une faille qui autorisait l'exécution de code malicieux à distance proche si le Bluetooth était activé sur un appareil Android 8.0 ou 9.0. En revanche, Android 10 n'est pas concerné par cette faille.
Aucun logiciel informatique n’est parfait, et l’on découvre régulièrement des vulnérabilités dans des produits utilisés de façon massive à travers le monde. C’est la cas aujourd’hui d’Android, le système d’exploitation mobile de Google, qui représente 74% des smartphones en circulation dans le monde selon StatCounter. Android a un problème de taille, qu’il traîne depuis des années : la fragmentation de son OS. Avec chaque nouvelle itération de son système d’exploitation, les plus anciens smartphones sont laissés sur le carreau, quand d’autres ne sont tout simplement pas mis à jour par ses utilisateurs. Ainsi en septembre 2018, lorsque Google levait le voile sur la répartition des différentes versions d’Android, on apprenait que Android Nougat était en tête avec 30,8%, suivit par Android Marshmallow avec 22,7%, Android Lollipop avec 19,2% et la plus récente, Android Oreo avec 14,6%. Cependant, Android KitKat cumulait toujours 8,6% des utilisateurs d’Android, Jelly Bean conservait 3,5% de parts de marché, et même Android Ice Cream Sandwich et Android Gingerbard se taillaient encore une part du gâteau avec 0,3%.
La fragmentation revient hanter Android
La divulgation d’une vulnérabilité aujourd’hui pointe encore une fois du doigt la menace que représente cette fragmentation. Sur Android 8.0 et jusqu’à Android 9.0, il est possible pour une personne mal intentionnée d’exécuter du code arbitraire sur un appareil dont le Bluetooth est activé, pour peu qu’il soit suffisamment proche physiquement (la portée théorique du Bluetooth est de 40 à 350 mètres). La faille, rapportée en novembre à Google, est corrigée dans le dernier patch de mise à jour du mois de février — pensez donc à mettre à jour votre mobile s’il exploite toujours Android 8.0 ou supérieur jusqu’à Android 9.0. Pour diminuer le risque d’attaque, n’activez le Bluetooth que lorsque cela est nécessaire. Cela est particulièrement important sur les versions d’Android plus anciennes qui ne permettent pas de masquer sa présence sur le réseau.
Android 10 n’est pas touché
La faille de sécurité s’est vu attribuée la référence CVE-2020-0022. Pour exécuter une attaque, aucune interaction utilisateur n’est requise et seule l’adresse MAC Bluetooth des périphériques cibles doit être connue. Pour certains périphériques, l’adresse MAC Bluetooth peut être déduite de l’adresse MAC WiFi. Insinuator.net, qui a dévoilé la faille, indique qu’elle n’est pas exploitable sur Android 10 pour des raisons techniques et ne provoque qu’un plantage du daemon Bluetooth. En revanche, aucun test n’a été conduit sur les version antérieures à Android 8.0, qui pourraient aussi être affectées.