Au cours de la première semaine de février, Google a publié son Bulletin de sécurité Android habituel, détaillant les défauts de sécurité qui ont été branchés pour renforcer la sécurité de la plate-forme. Ces défauts sont généralement déclarés une fois qu'ils ont été fixés, sauf dans des circonstances particulières.
Février est l'une de ces rares situations pour un défaut de haute sévérité au niveau du noyau qui était toujours activement exploité au moment de la libération du Bulletin. « Il y a des indications que le CVE-2024-53104 peut être sous une exploitation limitée et ciblée », explique la note de publication.
Le défaut a été signalé pour la première fois par des experts d'Amnesty International, qui le décrit comme un «écriture hors limite dans le pilote de classe vidéo USB (UVC)». Les chercheurs ajoutent que comme il s'agit d'un exploit au niveau du noyau, il a un impact sur un milliard d'appareils Android, quelle que soit l'étiquette de marque.
Puisqu'il s'agit d'un exploit zéro-jour, seuls les attaquants connaissent son existence, à moins que les experts en sécurité ne ressentent sa présence, développent un correctif avec l'équipe de la plate-forme, puis le publient largement pour tous les appareils affectés. Deux autres vulnérabilités, CVE-2024-53197 et CVE-2024-50302, ont été fixées au niveau du noyau, mais n'ont pas été complètement corrigées à un niveau OS par Google
La piscine d'impact est vaste
Le pool d'appareils affectés est l'écosystème Android, tandis que le vecteur d'attaque est une interface USB. Plus précisément, nous parlons d'exploits zéro-jours dans les pilotes USB du noyau Linux, qui permet à un mauvais acteur de contourner la protection de l'écran de verrouillage et d'obtenir un accès privilégié de niveau profond à un téléphone via une connexion USB.
Dans ce cas, un outil proposé par Cellebrite aurait été utilisé pour déverrouiller le téléphone d'un militant étudiant serbe et accéder aux données stockées dessus. Plus précisément, un kit de Cellebrite UFED a été déployé par des responsables de l'application des lois sur le téléphone de l'activiste étudiant, sans les en informer ni en prenant leur consentement explicite.
Amnesty dit que l'utilisation d'un outil comme Cellebrite – qui a été maltraitée pour cibler largement les journalistes et les militants – n'a pas été légalement sanctionné. Le téléphone en question était un Samsung Galaxy A32, tandis que l'appareil Cellebrite a pu passer devant la protection de l'écran de verrouillage et obtenir un accès root.
«Les fournisseurs Android doivent renforcer de toute urgence les fonctionnalités de sécurité défensive pour atténuer les menaces des connexions USB non fiables aux appareils verrouillés», explique le rapport d'Amnesty. Ce ne sera pas la première fois que le nom de Cellebrite apparaît dans les nouvelles.
Mettez à jour votre smartphone Android. DÈS QUE POSSIBLE!
La Société vend ses outils d'analyse médico-légale aux agences d'application de la loi et fédérales aux États-Unis, et à plusieurs autres pays, en les permettant de se frayer un chemin brutal dans les appareils et à extraire des informations critiques.
En 2019, Cellebrite a affirmé qu'il pourrait déverrouiller n'importe quel appareil Android ou Apple à l'aide de son périphérique d'extraction médico-légale universel. Cependant, il a également soulevé des préoccupations éthiques et des alarmes de confidentialité concernant l'utilisation déloyale par les autorités pour la surveillance, le harcèlement et le ciblage des dénonciateurs, des journalistes et des militants.
Il y a quelques mois, Apple a également silencieusement resserré les protocoles de sécurité avec la mise à jour iOS 18.1, avec l'intention de bloquer l'accès non autorisé aux smartphones verrouillés et d'empêcher l'exfiltration d'informations sensibles.
