TOOLinux

Le journal du Libre

Cette faille Android existe depuis 2011

mardi 10 mai 2016

La société FireEye, spécialiste de la cybersécurité, a dévoilé une faille critique dans les logiciels utilisés pour les composants Qualcomm via leur composant radio intégré.

L’attaquant pourrait accéder au moins aux SMS ainsi qu’à l’historique des appels. Cette faille date de 2011 lorsque Qualcomm a mis en place une nouvelle API pour utiliser les composants radio. Il a donc modifié le processus netd venant de Android Open Source Project, de Google.

Des centaines de modèles seraient concernées, qu’ils soient sous Lollipop, KitKat, Jellybean, Ice Cream Sandwich et Gingerbread. La version Marshmallow ne serait pas affectée (mais elle est encore loin d’être majoritaire, à cause de la fragmentation du système d’exploitation).

Qualcomm a publié un correctif après avoir été averti. Maintenant, reste à voir si les constructeurs feront le nécessaire pour publier rapidement des mises à jour pour leurs divers modèles, ce qui sera « très difficile », prévient FireEye.

Liens :

- Le site de FireEye
- L’annonce de la faille CVE-2016-2060 par FireEye
- L’annonce par Qualcomm sur le forum CodeAurora