Publié le 18 mars 2016
Les avis de sécurité Android sont des compléments des bulletins de sécurité Nexus. Pour en savoir plus sur les conseils de sécurité, consultez notre page récapitulative.
Résumé
Google a découvert une application d'enracinement utilisant une faille d'escalade de privilèges locale non corrigée dans le noyau sur certains appareils Android (CVE-2015-1805). Pour que cette application affecte un appareil, l'utilisateur doit d'abord l'installer. Google bloque déjà l'installation d'applications d'enracinement qui exploitent cette faille — à la fois sur Google Play et en dehors de Google Play — à l'aide de Verify Apps. Nous avons également mis à jour nos systèmes pour détecter les applications qui exploitent cette faille spécifique.
Pour fournir une dernière couche de protection contre ce problème, un correctif a été fourni aux partenaires le 16 mars 2016. Des mises à jour Nexus sont en cours de création et seront publiées dans quelques jours. Des correctifs de code source pour ce problème ont été publiés dans le dépôt du projet Android Open Source (AOSP).
Arrière-plan
Il s'agit d'un problème connu dans le noyau Linux en amont, qui a été corrigé en avril 2014, mais qui n'a pas été signalé comme correctif de sécurité et n'a pas été attribué à CVE-2015-1805 avant le 2 février 2015. Le 19 février 2016, l'équipe C0RE a informé Google que le problème pouvait être exploité sur Android. Un correctif a été développé pour être inclus dans une prochaine mise à jour mensuelle régulière.
Le 15 mars 2016, Google a reçu un rapport de Zimperium indiquant que cette faille avait été exploitée sur un appareil Nexus 5. Google a confirmé l'existence d'une application de root publique qui exploite cette faille sur les Nexus 5 et Nexus 6 pour accorder des droits root à l'utilisateur de l'appareil.
Ce problème est classé comme problème de gravité critique en raison de la possibilité d'une élévation des privilèges locale et d'une exécution de code arbitraire pouvant entraîner une compromission permanente de l'appareil.
Champ d'application
Cet avis s'applique à tous les appareils Android non corrigés exécutant les versions de kernel 3.4, 3.10 et 3.14, y compris tous les appareils Nexus. Les appareils Android exécutant le noyau Linux version 3.18 ou ultérieure ne sont pas vulnérables.
Stratégies d'atténuation
Voici les mesures d'atténuation qui réduisent la probabilité que les utilisateurs soient affectés par ce problème:
- Vérifier les applications a été mis à jour pour bloquer l'installation d'applications qui tentent d'exploiter cette faille à la fois dans et en dehors de Google Play.
- Google Play n'autorise pas les applications d'enracinement, comme celle qui cherche à exploiter ce problème.
- Les appareils Android équipés du noyau Linux version 3.18 ou ultérieure ne sont pas vulnérables.
Remerciements
Android tient à remercier l'équipe C0RE et Zimperium pour leur contribution à cet avis.
Actions suggérées
Android encourage tous les utilisateurs à accepter les mises à jour de leurs appareils lorsqu'elles sont disponibles.
Correctifs
Google a publié un correctif dans le dépôt AOSP pour plusieurs versions du kernel. Les partenaires Android ont été informés de ces correctifs et sont invités à les appliquer. Si d'autres mises à jour sont nécessaires, Android les publiera directement sur AOSP.
| Version de noyau | Correction |
|---|---|
| 3.4 | Correctif AOSP |
| 3.10 | Correctif AOSP |
| 3.14 | Correctif AOSP |
| 3.18+ | Correctif appliqué au noyau Linux public |
Questions fréquentes et réponses
1. Quel est le problème ?
Une faille d'élévation des privilèges dans le noyau peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission permanente locale de l'appareil. L'appareil devra peut-être être réparé en reflashant le système d'exploitation.
2. Comment un pirate informatique chercherait-il à exploiter ce problème ?
Les utilisateurs qui installent une application qui cherche à exploiter ce problème sont exposés à un risque. Les applications d'enracinement (comme celle qui exploite ce problème) sont interdites sur Google Play. Google bloque l'installation de cette application en dehors de Google Play via Vérifier les applications. Un pirate informatique doit convaincre un utilisateur d'installer manuellement une application affectée.
3. Quels appareils peuvent être concernés ?
Google a confirmé que cet exploit fonctionne sur les Nexus 5 et 6. Toutefois, toutes les versions non corrigées d'Android contiennent la faille.
4. Google a-t-il constaté des preuves d'utilisation abusive de cette faille ?
Oui, Google a constaté que cette faille avait été exploitée sur un Nexus 5 à l'aide d'un outil de root public. Google n'a observé aucune exploitation pouvant être classée comme "malveillante".
5. Comment allez-vous résoudre ce problème ?
Google Play interdit les applications qui tentent d'exploiter ce problème. De même, Vérifier les applications bloque l'installation d'applications provenant de sources autres que Google Play qui tentent d'exploiter ce problème. Les appareils Google Nexus seront également corrigés dès qu'une mise à jour sera disponible. Nous avons informé les partenaires Android afin qu'ils puissent publier des mises à jour similaires.
6. Comment savoir si mon appareil contient un correctif pour ce problème ?
Android a fourni deux options à nos partenaires pour indiquer que leurs appareils ne sont pas vulnérables à ce problème. Les appareils Android dont le niveau de correctif de sécurité est le 18 mars 2016 ne sont pas vulnérables. Les appareils Android dont le niveau de correctif de sécurité est égal ou supérieur au 2 avril 2016 ne sont pas vulnérables à ce problème. Consultez cet article pour savoir comment vérifier le niveau du correctif de sécurité.
Révisions
- 18 mars 2016: avis publié.