Avis de sécurité Android — 2016-03-18

Publié le 18 mars 2016

Les avis de sécurité Android complètent les bulletins de sécurité Nexus. Reportez-vous à notre page de résumé pour plus d’informations sur les avis de sécurité.

Résumé

Google a pris connaissance d'une application de root utilisant une vulnérabilité d'élévation de privilèges locale non corrigée dans le noyau de certains appareils Android ( CVE-2015-1805 ). Pour que cette application affecte un appareil, l'utilisateur doit d'abord l'installer. Google bloque déjà l'installation d'applications de root qui utilisent cette vulnérabilité - à la fois dans Google Play et en dehors de Google Play - à l'aide de Verify Apps et a mis à jour nos systèmes pour détecter les applications qui utilisent cette vulnérabilité spécifique.

Afin de fournir une dernière couche de défense contre ce problème, les partenaires ont reçu un correctif pour ce problème le 16 mars 2016. Des mises à jour Nexus sont en cours de création et seront publiées dans quelques jours. Les correctifs de code source pour ce problème ont été publiés dans le référentiel Android Open Source Project (AOSP).

Arrière-plan

Il s'agit d'un problème connu dans le noyau Linux en amont qui a été corrigé en avril 2014, mais n'a pas été signalé comme correctif de sécurité et attribué CVE-2015-1805 avant le 2 février 2015. Le 19 février 2016, l'équipe C0RE a informé Google que le problème pourrait être exploité sur Android et un correctif a été développé pour être inclus dans une prochaine mise à jour mensuelle régulièrement programmée.

Le 15 mars 2016, Google a reçu un rapport de Zimperium indiquant que cette vulnérabilité avait été utilisée de manière abusive sur un appareil Nexus 5. Google a confirmé l'existence d'une application de root accessible au public qui exploite cette vulnérabilité sur les Nexus 5 et Nexus 6 pour fournir à l'utilisateur de l'appareil les privilèges root.

Ce problème est classé comme un problème de gravité critique en raison de la possibilité d'une élévation de privilèges locaux et d'une exécution de code arbitraire conduisant à une compromission permanente du périphérique local.

Portée

Cet avis s'applique à tous les appareils Android non corrigés sur les versions de noyau 3.4, 3.10 et 3.14, y compris tous les appareils Nexus. Les appareils Android utilisant la version 3.18 ou supérieure du noyau Linux ne sont pas vulnérables.

Atténuations

Les mesures d'atténuation suivantes réduisent la probabilité que les utilisateurs soient affectés par ce problème :

  • Verify Apps a été mis à jour pour bloquer l'installation d'applications qui, selon nous, tentent d'exploiter cette vulnérabilité à la fois à l'intérieur et à l'extérieur de Google Play.
  • Google Play n'autorise pas les applications de root, comme celle cherchant à exploiter ce problème.
  • Les appareils Android utilisant la version 3.18 ou supérieure du noyau Linux ne sont pas vulnérables.

Remerciements

Android souhaite remercier l' équipe C0RE et Zimperium pour leurs contributions à cet avis.

Actions suggérées

Android encourage tous les utilisateurs à accepter les mises à jour de leurs appareils lorsqu'elles sont disponibles.

Correctifs

Google a publié un correctif dans le référentiel AOSP pour plusieurs versions du noyau. Les partenaires Android ont été informés de ces correctifs et sont encouragés à les appliquer. Si des mises à jour supplémentaires sont nécessaires, Android les publiera directement sur AOSP.

Version du noyau Correctif
3.4 Patch AOSP
3.10 Patch AOSP
3.14 Patch AOSP
3.18+ Patché dans le noyau Linux public

Questions et réponses courantes

1. Quel est le problème ?

Une vulnérabilité d'élévation de privilèges dans le noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme étant de gravité critique en raison de la possibilité d'une compromission locale permanente du périphérique et le périphérique pourrait éventuellement devoir être réparé en flashant à nouveau le système d'exploitation.

2. Comment un attaquant chercherait-il à exploiter ce problème ?

Les utilisateurs qui installent une application cherchant à exploiter ce problème courent un risque. Les applications de root (comme celle qui exploite ce problème) sont interdites sur Google Play, et Google bloque l'installation de cette application en dehors de Google Play via Verify Apps. Un attaquant devrait convaincre un utilisateur d'installer manuellement une application concernée.

3. Quels appareils pourraient être concernés ?

Google a confirmé que cet exploit fonctionne sur les Nexus 5 et 6 ; cependant, toutes les versions non corrigées d'Android contiennent cette vulnérabilité.

4. Google a-t-il constaté des preuves d'abus de cette vulnérabilité ?

Oui, Google a constaté des preuves d'abus de cette vulnérabilité sur un Nexus 5 à l'aide d'un outil d'enracinement accessible au public. Google n’a constaté aucune exploitation qui serait qualifiée de « malveillante ».

5. Comment allez-vous résoudre ce problème ?

Google Play interdit les applications tentant d'exploiter ce problème. De même, Verify Apps bloque l'installation d'applications extérieures à Google Play qui tentent d'exploiter ce problème. Les appareils Google Nexus seront également corrigés dès qu'une mise à jour sera prête et nous avons informé les partenaires Android afin qu'ils puissent publier des mises à jour similaires.

6. Comment puis-je savoir si mon appareil contient un correctif pour ce problème ?

Android a proposé deux options à nos partenaires pour communiquer que leurs appareils ne sont pas vulnérables à ce problème. Les appareils Android dotés d'un correctif de sécurité du 18 mars 2016 ne sont pas vulnérables. Les appareils Android dotés d'un correctif de sécurité du 2 avril 2016 ou version ultérieure ne sont pas vulnérables à ce problème. Reportez-vous à cet article pour savoir comment vérifier le niveau du correctif de sécurité.

Révisions

  • 18 mars 2016 : avis publié.