Répondez à notre enquête sur la convivialité pour améliorer ce site.
Cette page a été traduite par l'API Cloud Translation.
Switch to English

Avis de sécurité Android - 18/03/2016

Publié le 18 mars 2016

Les avis de sécurité Android sont complémentaires aux bulletins de sécurité Nexus. Reportez-vous à notre page de résumé pour plus d'informations sur les avis de sécurité.

Sommaire

Google a pris connaissance d'une application d'enracinement utilisant une vulnérabilité d'élévation de privilèges locale non corrigée dans le noyau sur certains appareils Android ( CVE-2015-1805 ). Pour que cette application affecte un appareil, l'utilisateur doit d'abord l'installer. Google bloque déjà l'installation des applications d'enracinement qui utilisent cette vulnérabilité - à la fois dans Google Play et en dehors de Google Play - à l'aide de Verify Apps , et a mis à jour nos systèmes pour détecter les applications qui utilisent cette vulnérabilité spécifique.

Pour fournir une dernière couche de défense à ce problème, les partenaires ont reçu un correctif pour ce problème le 16 mars 2016. Des mises à jour Nexus sont en cours de création et seront publiées dans quelques jours. Des correctifs de code source pour ce problème ont été publiés dans le référentiel Android Open Source Project (AOSP).

Contexte

Il s'agit d'un problème connu dans le noyau Linux en amont qui a été résolu en avril 2014 mais qui n'a pas été appelé comme correctif de sécurité et attribué à CVE-2015-1805 jusqu'au 2 février 2015. Le 19 février 2016, l'équipe C0RE a informé Google que le problème pourrait être exploité sur Android et un correctif a été développé pour être inclus dans une prochaine mise à jour mensuelle régulièrement programmée.

Le 15 mars 2016, Google a reçu un rapport de Zimperium selon lequel cette vulnérabilité avait été abusée sur un appareil Nexus 5. Google a confirmé l'existence d'une application d'enracinement accessible au public qui abuse de cette vulnérabilité sur Nexus 5 et Nexus 6 pour fournir à l'utilisateur de l'appareil les privilèges root.

Ce problème est considéré comme un problème de gravité critique en raison de la possibilité d'une élévation des privilèges locaux et de l'exécution de code arbitraire conduisant à une compromission permanente de l'appareil local.

Portée

Cet avis s'applique à tous les appareils Android non corrigés sur les versions de noyau 3.4, 3.10 et 3.14, y compris tous les appareils Nexus. Les appareils Android utilisant la version 3.18 ou supérieure du noyau Linux ne sont pas vulnérables.

Atténuations

Voici les mesures d'atténuation qui réduisent la probabilité que les utilisateurs soient touchés par ce problème:

  • Vérifiez que les applications ont été mises à jour pour bloquer l'installation des applications dont nous avons appris qu'elles tentaient d'exploiter cette vulnérabilité à la fois à l'intérieur et à l'extérieur de Google Play.
  • Google Play n'autorise pas l'enracinement des applications, comme celle qui cherche à exploiter ce problème.
  • Les appareils Android utilisant la version 3.18 ou supérieure du noyau Linux ne sont pas vulnérables.

Remerciements

Android tient à remercier l' équipe C0RE et Zimperium pour leurs contributions à cet avis.

Actions suggérées

Android encourage tous les utilisateurs à accepter les mises à jour de leurs appareils lorsqu'elles sont disponibles.

Corrections

Google a publié un correctif dans le référentiel AOSP pour plusieurs versions de noyau. Les partenaires Android ont été informés de ces correctifs et sont encouragés à les appliquer. Si d'autres mises à jour sont nécessaires, Android les publiera directement sur AOSP.

Version du noyau Pièce
3.4Patch AOSP
3.10Patch AOSP
3.14Patch AOSP
3.18+ Corrigé dans le noyau Linux public

Questions et réponses courantes

1. Quel est le problème?

Une vulnérabilité d'élévation de privilèges dans le noyau pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est considéré comme un problème de gravité critique en raison de la possibilité d'une compromission permanente du périphérique local et le périphérique devrait éventuellement être réparé en relançant le système d'exploitation.

2. Comment un attaquant chercherait-il à exploiter ce problème?

Les utilisateurs qui installent une application qui cherche à exploiter ce problème sont à risque. Les applications d'enracinement (comme celle qui exploite ce problème) sont interdites dans Google Play, et Google bloque l'installation de cette application en dehors de Google Play via Verify Apps. Un attaquant devrait convaincre un utilisateur d'installer manuellement une application affectée.

3. Quels appareils pourraient être affectés?

Google a confirmé que cet exploit fonctionne sur les Nexus 5 et 6; cependant, toutes les versions non corrigées d'Android contiennent la vulnérabilité.

4. Google a-t-il vu des preuves d'abus de cette vulnérabilité?

Oui, Google a vu des preuves d'abus de cette vulnérabilité sur un Nexus 5 à l'aide d'un outil d'enracinement accessible au public. Google n'a observé aucune exploitation qui serait classée comme «malveillante».

5. Comment allez-vous résoudre ce problème?

Google Play interdit aux applications de tenter d'exploiter ce problème. De même, Verify Apps bloque l'installation d'applications extérieures à Google Play qui tentent d'exploiter ce problème. Les appareils Google Nexus seront également corrigés dès qu'une mise à jour est prête et nous en avons informé les partenaires Android afin qu'ils puissent publier des mises à jour similaires.

6. Comment savoir si j'ai un appareil qui contient un correctif pour ce problème?

Android a fourni deux options à nos partenaires pour indiquer que leurs appareils ne sont pas vulnérables à ce problème. Les appareils Android avec un niveau de correctif de sécurité du 18 mars 2016 ne sont pas vulnérables. Les appareils Android avec un niveau de correctif de sécurité du 2 avril 2016 et des versions ultérieures ne sont pas vulnérables à ce problème. Reportez-vous à cet article pour savoir comment vérifier le niveau du correctif de sécurité.

Révisions

  • 18 mars 2016: Avis publié.