Des chercheurs en sécurité informatique ont découvert une vulnérabilité qui affecte le Bluetooth des smartphones Android
sous Android 8 ou Android 9. Si vous possédez un téléphone sous ces deux versions d’Android, procédez rapidement à l’installation des correctifs de sécurité de février.
Comment a été détecté cette faille de sécurité?
Des chercheurs de la société allemande de cybersécurité ERNW, l’ont découvert et l’ont signalé à Google, qui l’a nommé CVE-2020-0022 et a comblé la lacune en sécurisant les deux versions d’Android en publiant le correctif approprié dans les dernières mises à jour de sécurité de février.
La vulnérabilité et a été découverte en novembre 2019, il a donc fallu un certain temps pour résoudre ce problème par Google. Problème qui, à ce stade, subsiste pour tous les appareils Android qui ne sont plus pris en charge. Les propriétaires de ces appareils se voient proposer quelques suggestions pour atténuer le risque d’infection via Bluetooth :
- N’activez Bluetooth que si cela est strictement nécessaire.
- Gardez votre appareil non détectable.
Comment fonctionne la vulnérabilité CVE-2020-0022
Avec Android 8 et 9, un hackeur se trouvant à proximité de l’appareil peut exécuter en silence un code arbitraire avec les privilèges du « démon » Bluetooth si cette connexion est activée. Un démon n’est rien d’autre qu’un processus s’exécutant en arrière-plan, dans ce cas-ci en attendant de détecter un appareil Bluetooth auquel se connecter. Si un pirate obtient les privilèges du démon Bluetooth, il peut alors contrôler complètement la connexion sans être bloqué par le système d’exploitation. Dans ce cas, aucune interaction de l’utilisateur n’est nécessaire et seule l’adresse MAC Bluetooth des appareils cibles doit être connue.
Pour certains appareils, l’adresse MAC Bluetooth peut être extrapolée à partir de l’adresse MAC WiFi. Cette vulnérabilité peut conduire au vol de données personnelles et pourrait potentiellement être utilisée pour diffuser des logiciels malveillants. Sur Android 10, cette vulnérabilité n’est pas exploitable pour des raisons techniques et ne fait que provoquer le plantage du démon Bluetooth, alors que les versions d’Android antérieures à 8.0 peuvent être affectées mais n’ont pas été testées par ERNW.
Comment se protéger contre la vulnérabilité CVE-2020-0022?
Dans les correctifs de sécurité d’Android de février 2020, le correctif de cette dangereuse vulnérabilité a été inclus. Toute personne ayant la possibilité de les installer devrait donc le faire. Toute personne qui ne peut cependant installer ce correctif de sécurité doit maitrisé sa connexion Bluetooth et de ne l’utilisez qu’en cas de stricte nécessité et définir son téléphone comme « indétectable » par un balayage Bluetooth depuis d’autres appareils.