Google est finalement réputé pour négliger ses propres bugs, alors qu'il n'hésite pas à divulguer les vulnérabilités estimées de sévérité grave qui affectent les autres plateformes.
Après la vulnérabilité WebView délaissée, Google estime qu'une autre vulnérabilité affectant des dispositifs Android n'est pas si grave pour nécessiter un correctif.
En effet, Core Security estime qu'il y a un bug dans la mise en œuvre de WiFi Direct dans Android. Ce bug, s'il est exploité, permettra à un attaquant de forcer le redémarrage d'un dispositif. Mais ,Google ne serait pas convaincu de sa gravité et ne montre pas beaucoup d'intérêt dans le déploiement d'un patch.
Selon un mail de Coresec sur Seclists, le bug est dans la fonction wpa_supplicant qui assure l'interface entre le conducteur sans fil et la plateforme Android.
La vulnérabilité est exploitable à distance et permet à des attaquants de mener des dénis de service en exploitant le WiFi Direct. En effet, cette vulnérabilité se produit alors que l'appareil Android est en train rechercher d'autres dispositifs WiFi Direct compatibles (les autres téléphones, imprimantes, appareils photo, etc.).
L'attaquant pourrait, en ce moment, envoyer des données pour forcer le sous-système Dalvik à redémarrer en raison d'une exception non gérée sur la classe WiFiMonitor.
Pour que la vulnérabilité soit exploitée, il faut donc que l'appareil soit à la recherche de dispositifs, et l'attaquant doit être à proximité de manière à envoyer les données à la cible. Par ailleurs, son impact est limité à un redémarrage.
Sans doute pour ces raisons, Google a classé la vulnérabilité comme étant de faible sévérité, et l'équipe de sécurité Android a indiqué plusieurs fois qu'elle n'a pas de calendrier pour un correctif.
En ce qui concerne les périphériques vulnérables, jusqu'à présent, Core Security a confirmé le bug sur les appareils Nexus 4 et 5 fonctionnant sous Android 4.4.4, les appareils LG D806 et Samsung SM-T310 sous Android 4.2.2 ainsi que Motorola RAZR HD sous Android 4.1.2. D'autres dispositifs pourraient également être vulnérables, mais les dispositifs exécutant Android 5.0.1 et 5.0.2 ne le sont pas selon Core Security.
En attendant que Google corrige cette vulnérabilité, les mesures d'atténuation conseillées sont d'éviter l'utilisation de WiFi Direct ou de passer à des versions non vulnérables d'Android, c'est-à-dire Android 5.0 Lollipop.
Source : Core Security
Et vous ?
Qu’en pensez-vous ?
« Android WiFi-Direct DoS » : Google ne compte pas corriger la vulnérabilité dans sa plateforme
Elle est classée de gravité faible
« Android WiFi-Direct DoS » : Google ne compte pas corriger la vulnérabilité dans sa plateforme
Elle est classée de gravité faible
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !