Google a publié les mises à jour de sécurité Android de février 2022, corrigeant deux vulnérabilités critiques, l’une étant une élévation de privilèges à distance qui ne nécessite aucune interaction de l’utilisateur.
La vulnérabilité est suivie comme CVE-2021-39675portant une cote de gravité « critique », et n’affecte qu’Android 12, la dernière version du système d’exploitation populaire.
Ces failles sont généralement exploitées par des éditeurs de logiciels espions sophistiqués qui découvrent et utilisent de manière privée les zero-days dans les systèmes d’exploitation mobiles. Cependant, dans ce cas, Google n’a vu aucun signe d’exploitation active.
La deuxième faille critique corrigée par la mise à jour de sécurité de février 2022 est CVE-2021-30317qui affecte un composant à source fermée de Qualcomm, et ne concerne donc que les appareils Android qui utilisent le matériel de ce fournisseur.
Voici un résumé des correctifs de ce mois :
- Cinq failles très graves dans Framework
- Quatre bugs de haute gravité dans Media Framework
- Sept failles de gravité élevée à critiques dans le système
- Deux vulnérabilités de gravité indéfinie dans Media Provider
- Une faille de haute gravité dans les composants Amlogic
- Cinq bugs de haute gravité dans les composants MediaTek
- Trois failles de haute gravité dans les composants Unisoc
- Six vulnérabilités de gravité élevée à critique dans les composants Qualcomm
Comme Google le précise dans le bulletin: « L’évaluation de la gravité est basée sur l’effet que l’exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service sont désactivées à des fins de développement ou si elles sont contournées avec succès. »
Les détails techniques sur les vulnérabilités ne sont pas disponibles pour le moment, car les mises à jour Android nécessitent généralement plusieurs mois pour atteindre un pourcentage respectable de la base d’utilisateurs, étant donné que les fournisseurs doivent les regrouper séparément pour chaque modèle d’appareil.
La seule exception à cette pratique concerne les propres appareils Pixel de Google, tous les modèles de « 3a » à « 6 Pro » recevant déjà la mise à jour de sécurité de février 2022 lors d’un déploiement simultané.
Enfin, les correctifs fournis avec la mise à jour de ce mois-ci concernent Android 10, 11 et 12, donc si votre téléphone est plus ancien que cela, vous n’êtes plus couvert et vous devez considérer votre appareil comme un problème de sécurité.
Si vous ne souhaitez pas remplacer un appareil électronique en parfait état de fonctionnement qui n’est plus pris en charge par son fabricant, vous pouvez le flasher avec une ROM Android tierce basée sur une version AOSP plus récente et sécurisée, comme LineageOS par example.