Lundi, Google a publié une mise à jour pour Android qui a fixé deux défauts zéro-jours qui «peuvent être sous une exploitation limitée et ciblée», comme l’a dit la société. Cela signifie que Google est conscient que les pirates ont été et peuvent toujours utiliser les bogues pour compromettre les appareils Android dans des scénarios réels.
L’un des deux jours zéro désormais fixés, suivis comme CVE-2024-53197, a été identifié par Amnesty International en collaboration avec Benoît Sevens du groupe d’analyse des menaces de Google, l’équipe de sécurité du géant de la technologie qui suit les cyberattaques soutenues par le gouvernement.
En février, Amnesty a déclaré qu’il avait découvert que Celbite, une entreprise qui vend des appareils à l’enclocration de la loi pour le déverrouillage et l’analyse médico-légale des téléphones, profitait d’une chaîne de trois vulnérabilités zéro jour pour pirater les téléphones Android.
Contact américain
Avez-vous plus d’informations sur Android Zero-Days? À partir d’un dispositif non-travail, vous pouvez contacter Lorenzo Franceschi-Bicchiera en toute sécurité sur le signal à +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou e-mail. Vous pouvez également contacter TechCrunch via SecuredRop.
Dans ce cas, Amnesty a trouvé les vulnérabilité, y compris celle corrigée lundi, utilisée contre un étudiant militant serbe par les autorités locales armées de Celbrite.
Cependant, il y a beaucoup d’informations sur la deuxième vulnérabilité, CVE-2024-53150, corrigé lundi, à part sa découverte a également été crédité sur les sept de Google et que le défaut a été trouvé dans le noyau, au cœur d’un système d’exploitation.
Google et Amnesty ont désormais imminent avec une demande de commentaires.
Le géant de la technologie a déclaré dans son avis que «le plus grave de ce résultat est une vulnérabilité de sécurité essentielle dans le composant système qui pourrait entraîner une escalade à distance de privilège sans privilège supplémentaire nécessaire» et que, «l’interaction utilisateur n’est pas nécessaire pour le fonctionnement».
Google a déclaré que cela pousserait les correctifs de code source pour les deux jours zéro fixes dans les 48 heures suivant l’avis, tout en notant que les partenaires Android sont « informés de tous de tous depuis au moins un mois avant la publication.
Compte tenu de la nature open source d’Android, chaque fabricant de téléphones doit désormais pousser les correctifs à leurs propres utilisateurs.
