Android : quand près de 80 % des smartphones sont exposés à une faille liée au microphone !

Véritable portail extérieur embarqué, le smartphone permet de communiquer et d’interagir avec le monde entier… quand ce n’est pas le monde entier qui écoute : preuve en est avec cette vulnérabilité découverte impactant 78.7 % des smartphones sous Android et permettant, pour certains, d’être enregistré / écouté à l’insu de son utilisateur.

 

 

Cette découverte, on l’a doit à MWRLabs qui explique dans son billet explicatif du 13 Novembre dernier le modus operandi terriblement simple de la faille qualifiée de « haute » : « les versions affectées d’Android ne peuvent pas détecter les pop-up SystemUI partiellement masquées. Cela permet à un attaquant d’élaborer une application pour conceptualiser une superposition sur la fenêtre contextuelle SystemUI qui conduirait à une élévation de privilèges de l’application (ie lui permettrait de capturer l’écran de l’utilisateur)« , évoquant MediaProjection, une API permettant d’enregistrer un flux audio ou la capture d’une image.

 

Dès lors, cette « superposition » peut prendre des allures de vrai-faux messages sous forme de notifications (en haut d’écran) comme le montre les illustrations ci-dessus, pour mieux duper la vigilance de la victime ainsi bernée.

Pour l’heure, seule la version 8.0 (Oreo) du système mobile de Google a été colmaté, les versions 5.0 (Lollipop) à 7.1.2 (Nougat) incluses étant principalement concernées et donc potentiellement vulnérables. Si une rustine sera grandement attendue de la part des fabricants de smartphones qui auront à cœur, gageons-le, de déployer cette dernière rapidement (?), la mise en lumière de cette faille a été officiellement reportée à Google le 7 Janvier dernier… A suivre !

 

Source : MWRLabs – mwrinfosecurity.com