Google a déployé une mise à jour de sécurité pour remédier à une faille critique dans l'implémentation Bluetooth d'Android qui permet l'exécution de codes à distance sans interaction de l'utilisateur.

La vulnérabilité, identifiée sous le numéro CVE-2020-0022, affecte les appareils fonctionnant sous Android Oreo (8.0 et 8.1) et Pie (9.0). Pour ces appareils, qui représentent à près des deux tiers des appareils Android utilisés, la faille est jugée critique par Google.

Selon le fournisseur allemand de sécurité informatique ERNW, qui a découvert la faille de sécurité vermouillable et l'a signalée à Google il y a trois mois, le bogue pourrait être exploité pour dérober des données personnelles ou distribuer des logiciels malveillants. Les attaquants pourraient « exécuter silencieusement du code arbitraire avec les privilèges du démon Bluetooth », a déclaré la société.

« Aucune interaction de l'utilisateur n'est requise et seule l'adresse MAC Bluetooth des appareils cibles doit être connue. Pour certains appareils, l'adresse MAC Bluetooth peut être déduite de l'adresse MAC Wi-Fi » Il est évident que les attaquants doivent également se trouver à proximité de l'appareil ciblé et que le téléphone ou la tablette doit être en mode découverte.

La faille est beaucoup moins problématique pour les appareils sous Android 10, où elle ne peut pas être exploité et conduit simplement à un plantage du daemon Bluetooth. Les versions d'Android antérieures à 8.0 n'ont pas été testées.

ERNW n'a pas décrit le bogue en détail ni partagé le code de preuve de concept, car il attend que les utilisateurs finaux reçoivent les correctifs.

Corrigez-moi si vous pouvez

Si vous possédez un smartphone de marque Google, par exemple un Pixel, vous avez de la chance. En revanche, la mise à jour peut ne pas être aussi rapide qu'on le souhaiterait pour de nombreux autres propriétaires d'appareils Android, qui doivent attendre que les fabricants ou les opérateurs de leur téléphone lancent les mises à jour. Pire encore, de nombreux appareils peuvent ne plus être pris en charge.

Google, qui a inclus le correctif dans son dernier assortiment de mises à jour de sécurité mensuelles pour Android, a déclaré qu'il avait informé tous les fabricants d'appareils Android du problème il y a au moins un mois.

Une façon de réduire le risque est de s'assurer que votre téléphone est en mode non détectable lorsque le Bluetooth est activé. Sinon, n'activez le Bluetooth qu'en cas de nécessité et n'oubliez pas de l'éteindre lorsque vous ne l'utilisez pas.