Google a publié en urgence un patch pour ses téléphones de la gamme Nexus afin de corriger une vulnérabilité présente dans le Kernel Linux.
Google a publié en urgence une mise à jour de sécurité pour Android afin de corriger un bug qui pourrait permettre à des pirates de compromettre un téléphone à l’aide d’une application malveillante depuis le Google Play Store. La firme de Mountain View a détaillé le problème dans un post publié vendredi, expliquant que les versions du kernel Linux affectées sont les versions inférieures à la 3.18.
Cette faille avait découverte en 2014 par les équipes d’ingénieurs en charge d’Android mais elle n’avait pas été considérée comme exploitable. Aucune action n’avait donc été entreprise pour la corriger. Cependant, le mois dernier, les chercheurs de la C0RE Team ont prévenu Google que cette brèche permettrait à des personnes mal-intentionnées d’obtenir des privilèges supérieurs sur les systèmes Android. C’est à ce moment que Google a pris la décision de sortir un correctif dans sa prochaine mise à jour de sécurité pour son OS mobile.
Mais entre temps, le 15 mars 2016 plus précisément, la société de sécurité informatique Zimperium annonce avoir découvert une application dans le Play Store qui permet d’exploiter cette faille. Si elle-ci ne se présentait pas comme une application malveillante, puisqu’elle devait être manuellement installée et opérée par l’utilisateur, Google a rappelé que ce type d’application est interdit sur son catalogue.
Comme le dit l’adage, il vaut mieux prévenir que guérir, c’est pourquoi l’éditeur a décidé de publier un patch pour les terminaux exploitant le kernel Linux 3.4, 3.10 et 3.14. Du côté des appareils Android tournants sous le kernel 3.18 ou supérieur, la faille a déjà été corrigée.
Bien que la mise à jour de sécurité a déjà été déployée sur l’Android Open Source Project (AOSP), il faut maintenant attendre que les fabricants proposent le correctif pour leurs terminaux.
