Publié le 18 mars 2016
Les avis de sécurité Android complètent les bulletins de sécurité Nexus. Reportez-vous à notre page de résumé pour plus d'informations sur les avis de sécurité.
Sommaire
Google a pris connaissance d'une application d'enracinement utilisant une vulnérabilité d'élévation locale des privilèges non corrigée dans le noyau de certains appareils Android ( CVE-2015-1805 ). Pour que cette application affecte un appareil, l'utilisateur doit d'abord l'installer. Google bloque déjà l'installation d'applications root qui utilisent cette vulnérabilité, à la fois dans Google Play et en dehors de Google Play, à l'aide de Verify Apps , et a mis à jour nos systèmes pour détecter les applications qui utilisent cette vulnérabilité spécifique.
Pour fournir une dernière couche de protection contre ce problème, les partenaires ont reçu un correctif pour ce problème le 16 mars 2016. Des mises à jour Nexus sont en cours de création et seront publiées dans quelques jours. Les correctifs de code source pour ce problème ont été publiés dans le référentiel Android Open Source Project (AOSP).
Arrière plan
Il s'agit d'un problème connu dans le noyau Linux en amont qui a été corrigé en avril 2014 mais n'a pas été appelé comme correctif de sécurité et attribué CVE-2015-1805 jusqu'au 2 février 2015. Le 19 février 2016, l'équipe C0RE a informé Google que le problème pourrait être exploité sur Android et un correctif a été développé pour être inclus dans une prochaine mise à jour mensuelle régulière.
Le 15 mars 2016, Google a reçu un rapport de Zimperium indiquant que cette vulnérabilité avait été exploitée de manière abusive sur un appareil Nexus 5. Google a confirmé l'existence d'une application d'enracinement accessible au public qui exploite cette vulnérabilité sur Nexus 5 et Nexus 6 pour fournir à l'utilisateur de l'appareil des privilèges root.
Ce problème est classé comme un problème de gravité critique en raison de la possibilité d'une élévation des privilèges locaux et d'une exécution de code arbitraire entraînant une compromission permanente de l'appareil local.
Portée
Cet avis s'applique à tous les appareils Android non corrigés sur les versions de noyau 3.4, 3.10 et 3.14, y compris tous les appareils Nexus. Les appareils Android utilisant la version 3.18 ou supérieure du noyau Linux ne sont pas vulnérables.
Atténuations
Voici les mesures d'atténuation qui réduisent la probabilité que les utilisateurs soient touchés par ce problème :
- Vérifier les applications a été mis à jour pour bloquer l'installation des applications qui, selon nous, tentent d'exploiter cette vulnérabilité à la fois à l'intérieur et à l'extérieur de Google Play.
- Google Play n'autorise pas les applications d'enracinement, comme celle qui cherche à exploiter ce problème.
- Les appareils Android utilisant la version 3.18 ou supérieure du noyau Linux ne sont pas vulnérables.
Remerciements
Android tient à remercier l' équipe C0RE et Zimperium pour leurs contributions à cet avis.
Actions suggérées
Android encourage tous les utilisateurs à accepter les mises à jour de leurs appareils lorsqu'elles sont disponibles.
Correctifs
Google a publié un correctif dans le référentiel AOSP pour plusieurs versions du noyau. Les partenaires Android ont été informés de ces correctifs et sont encouragés à les appliquer. Si d'autres mises à jour sont nécessaires, Android les publiera directement sur AOSP.
| Version du noyau | Correctif |
|---|---|
| 3.4 | Patch AOSP |
| 3.10 | Patch AOSP |
| 3.14 | Patch AOSP |
| 3.18+ | Patché dans le noyau Linux public |
Questions et réponses courantes
1. Quel est le problème ?
Une vulnérabilité d'élévation des privilèges dans le noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission permanente de l'appareil local et l'appareil devra peut-être être réparé en reflashant le système d'exploitation.
2. Comment un attaquant chercherait-il à exploiter ce problème ?
Les utilisateurs qui installent une application qui cherche à exploiter ce problème sont à risque. Les applications d'enracinement (comme celle qui exploite ce problème) sont interdites dans Google Play, et Google bloque l'installation de cette application en dehors de Google Play via Verify Apps. Un attaquant devrait convaincre un utilisateur d'installer manuellement une application affectée.
3. Quels appareils pourraient être concernés ?
Google a confirmé que cet exploit fonctionne sur Nexus 5 et 6 ; cependant, toutes les versions non corrigées d'Android contiennent la vulnérabilité.
4. Google a-t-il vu des preuves d'abus de cette vulnérabilité ?
Oui, Google a vu des preuves d'abus de cette vulnérabilité sur un Nexus 5 à l'aide d'un outil d'enracinement accessible au public. Google n'a observé aucune exploitation qui serait qualifiée de "malveillante".
5. Comment allez-vous résoudre ce problème ?
Google Play interdit les applications qui tentent d'exploiter ce problème. De même, Verify Apps bloque l'installation d'applications extérieures à Google Play qui tentent d'exploiter ce problème. Les appareils Google Nexus seront également corrigés dès qu'une mise à jour sera prête et nous avons informé les partenaires Android afin qu'ils puissent publier des mises à jour similaires.
6. Comment savoir si mon appareil contient un correctif pour ce problème ?
Android a fourni deux options à nos partenaires pour indiquer que leurs appareils ne sont pas vulnérables à ce problème. Les appareils Android avec un niveau de correctif de sécurité du 18 mars 2016 ne sont pas vulnérables. Les appareils Android avec un niveau de correctif de sécurité du 2 avril 2016 et ultérieur ne sont pas vulnérables à ce problème. Reportez-vous à cet article pour savoir comment vérifier le niveau du correctif de sécurité.
Révisions
- 18 mars 2016 : Avis publié.