MediaTek-su : réminiscence de la faille colmatée sous Android ! (un feu qui ne concerne pas qu'Amazon...)

Problématique toujours constante pour ne pas dire persistance, disposer ou déployer un patch sécuritaire relève du défi pour que ce dernier soit appliqué : d'une part, du fait de l'utilisateur qui, hors automatisation, ne pense pas toujours à appliquer la mise en jour et, surtout, d'autre part du fait du constructeur / fabricant (OEM ou FEO en français : fabriquant d'équipementier d'origine) qui daignera déployer le précieux patch au moment jugé opportun. C'est s'agissant du dernier cas qu'une faille telle que MediaTek-su a pu se réinventer dans l'environnement informatique : alors qu'elle avait subi une rustine courant 2019, la vulnérabilité, faute d'avoir été déployée sur toutes les puces MediaTek incriminées, est réapparue dans le paysage sécuritaire et renforcée ; désormais, elle concerne, outre les terminaux sous Fire OS (Amazon) qui étaient principalement visés à l'époque, la plupart des terminaux intégrant une puce MediaTek ainsi non mise à jour depuis Février 2019.

 

 

C'est ce que révèle, pour l'heure, le site spécialisé XDA-Developers (qui publie le listing complet des terminaux qui seraient ainsi impactés : près de 93 !) qui a suivi de près, depuis l'an dernier, l'évolution et les risques potentiels de cette vulnérabilité. Qualifiée de "haute" (CVE-2020-0069) dans le bulletin mensuel de Mars par Google pour Android, elle permet un (script) accès-privilège en mode root qui, unique point faible, réside en accès temporaire comme souligné par XDA-D : en effet, un reboot du smartphone annule l'exploit qui permet, d'une manière globale, une collecte de données (fichiers, médias...).

Côté matériel et selon les propos et tests rapportés par XDA-D, les modèles de puces (64 bits) du fabricant MediaTek qui seraient affectés sont : MT6735, MT6737, MT6738, MT6739, MT6750, MT6753, MT6755, MT6757, MT6758, MT6761, MT6762, MT6763, MT6765, MT6771, MT6779, MT6795, MT6797, MT6799, MT8163, MT8167, MT8173, MT8176, MT8183, MT6580, and MT6595.

 

Une première slave repérée dès le début d'année 2020, en Janvier, par TrendMicro, qui avait signalé 3 applications malicieuses ainsi vérolées. L'exploit de l'époque (CVE-2019-2215) avait permis à Google de rapidement retirer ces applications du store qui permet tout un tas de finalités, allant de l'exfiltration de données, des actions de type C&C, jusqu'à l'accès aux applications stockées sur le terminal ciblé. Faute d'avoir un déploiement du patch sur l'ensemble des terminaux sous Android, la vulnérabilité a continué lentement mais sûrement de s'instiller.

Pour l'heure, le patch d'Android est une bonne nouvelle en demi-teinte : comme à l'accoutumé, il faut encore que les fabricants, constructeurs de terminaux sous Android pensent à le déploiement ; assez rapidement... A veiller !

 

Source : XDA-Developers - 2 Mars 2020 - Media-Tek-su : un an après, la faille à nouveau exploitable sur des millions de terminaux Android.