Android : une faille du Bluetooth permettait d’installer des applications malveillantes

Les chercheurs en sécurité d’une société allemande ont mis à jour une nouvelle vulnérabilité d’Android. La faille jugée critique passait par le Bluetooth du smartphone. Elle est corrigée depuis quelques jours.

La faille était tenace mais elle est déjà corrigée. Comme souvent en matière de sécurité informatique, c’est plusieurs semaines après la découverte d’une vulnérabilité que les utilisateurs apprennent son existence et les risques qu’ils ont encourus. Dans le cas de cette faille CVE-2020-0022, le faiblesse a été découverte et signalée à Google par l’entreprise allemande ERNW et son chercheur en cybersécurité Jan Ruge. Elle a depuis été corrigée comme le bulletin de sécurité Android de février en atteste. 

Vol de données et installation d’applications vérolées 

La vulnérabilité concernait principalement les versions 8 et 9 d’Android, mais le rapport d’expertise n’exclut pas que des versions antérieures aient pu en être victimes. Ce dernier précise qu’« aucune interaction de l’utilisateur n’est requise, seule l’adresse MAC Bluetooth des appareils cibles doit être connue, sachant que pour certains modèles de smartphones, l’adresse MAC Bluetooth peut être déduite de l’adresse MAC Wifi ». Dans tous les cas, il ne s’agit pas d’une donnée particulièrement difficile à trouver. Jan Ruge ajoute que « cette vulnérabilité peut conduire au vol de données personnelles et peut aussi être utilisée pour diffuser des logiciels malveillants » sur le téléphone cible. 

Bien que la faille ait été comblée par les équipes de Google, ERNW prévoit de publier dans un futur proche les détails techniques de sa découverte. En attendant, aussi bien l’entreprise allemande que la firme de Mountain View s’accordent à dire qu’un smartphone Android mis à jour constitue la meilleure des sécurités contre cette vulnérabilité.