Nouvelle « 0-day » critique découverte sur Android

Le 3 octobre 2019, le groupe de recherche de Google « Project Zero » a publié les détails d’une faille 0-day concernant le système d’exploitation mobile Android.

Une liste non exhaustive a été publiée par Maddie Stone (membre de Project Zero), incluant une liste de smartphones populaires et vulnérables à cet « exploit » (Pixel 1/1XL, Pixel 2/2XL, Huawei P20, Xiaomi Redmi 5A/Note 5/A1, Oppo A3, Motorola Z3, LG Oreo, Samsung S7/S8/S9,…).

La vulnérabilité permettait une élévation de privilège local sur le smartphone ciblé, entrainant donc une compromission totale du smartphone (accès root au mobile). Cette vulnérabilité repose sur l’utilisation d’un « Use After Free ».

Maddie Stone indique que cette vulnérabilité serait massivement exploitée par NSO Group, une entreprise israélienne connue pour vendre des kits d’exploitation et de surveillance aux différents gouvernements.

« I received technical information from TAG and external parties about an Android exploit that is attributed to NSO group. These details included facts about the bug and exploit methodology, including but not limited to:

*It is a kernel privilege escalation using a use-after free vulnerability, accessible from inside the Chrome sandbox.

*The bug was allegedly being used or sold by the NSO group. »

Ainsi un délai de 7 jours pour corriger la vulnérabilité a été accordé par Project Zero, avant de divulguer l’exploitation de la vulnérabilité de manière publique.

« *We have evidence that this bug is being used in the wild. Therefore, this bug is subject to a 7 day disclosure deadline. After 7 days elapse or a patch has been made broadly available (whichever is earlier), the bug report will become visible to the public.* »

Tous les détails techniques sont listés dans le post suivant.

Y. Hamdaoui