Le pot aux roses a été découvert par Mateusz Jurczyk de l’équipe Project Zero de Google, comme le rapporte ZDNet. Cette brèche – CVE-2020-8899 – concerne le traitement des images au format Qmage (.qmg) et impacte toutes les versions d’Android 8 à 10.
Elle permet, sans aucune interaction de l’utilisateur, de conduire à « l'exécution possible de code arbitraire à distance », explique Samsung. C’est donc le pire des scénarios. Le National Institute of Standards and Technology (NIST) lui donne un score de 9,8, tandis que Google lui attribue 10/10.
Le chercheur a publié une démonstration vidéo à l’aide d’un simple MMS sur un Galaxy Note10+. Samsung a été prévenu le 28 janvier, tandis que la faille bouchée dans la mise à jour de sécurité Samsung du mois de mai (sous la référence SVE-2020-16747 chez le fabricant).
Commentaires (27)
#1
C’est ballot, le S8 vient de perdre les mises-a-jour mensuelles, j’aurai le correctif qu’en juillet
" />
#2
#3
#4
Ils ont donné un planning de déploiement de ce correctif ?
#5
#6
Une info potentiellement utile, d’autant plus dans ce contexte, il y a l’app nommée “snoop snitch” sur android, qui checke si ton téléphone est vraiment à jour en termes de patches logiciels. Parce que, même si saymal, il est arrivé que des fabricants mentent sur le déploiement d’un patch ou ne le déploient qu’en partie.
C’est aussi utile pour les téléphones que ne maintiennent plus à jour leur fabricant, quand on se demande si c’est, ou non, couvert par les MAJ de google. Je me rappelle que le service clients d’ASUS a cessé de me répondre quand, captures d’écran snoopsnitch à l’appui, je leur ai montré qu’ils mentaient et que désormais mon téléphone était vulnérable à des attaques, alors qu’ils disaient que google les couvrait, huhu.
#7
#8
#9
Aucune obligation légale.
" />
" />
En plus même quand on leur crache à la figure les clients reviennent donc bon.
#10
Quand on vous dit qu’iPhone c’est mieux… 6 ans de patch minimum
Je viens de remplacer justement mon Galaxy S9 par un iPhone SE pour cette raison alors que le projet Android Trebble devait justement faire en sorte que l’OS et le hardware soit distinct pour faciliter les update… encore un mensonge… Malheureusement, tous les fabriquant de smartphone continuent de se cantonner à fournir 3ans max de mise à jour, et uniquement sur des téléphones à 700€ minimum.
J’espère au fond de moi qu’il va y avoir un bon gros piratage bien massif pour mettre en lumière que le suivi des smartphone Android est ridicule.
Quand on voit maintenant qu’on a nos infos perso, compte en banque, photos, calendrier, donné de santé,…. dans nos smartphone aussi troué qu’une tranche d’emmental, ça fait peur…
#11
#12
aaaaah c’est sympa… Les joies d’Android…
#13
#14
Sur les téléphones qui ne sont plus mis à jour, la désactivation des MMS pourrait-elle empêcher l’attaque ?
#15
Mon S7 Edge vient de recevoir sa dernière màj de sécurité en mars dernier (4 ans après sa sortie). Dommage, il ne sera jamais plus mit à jour et aura donc cette faille (alors qu’il est bien sous android 8, contrairement au S6 qui est resté sur la 7).
À moins qu’exceptionnellement Samsung fasse une màj de sécu pour ça 🤷♂
#16
#17
#18
Certainement. Mais si on fait gaffe, le risque est gérable.
#19
Pour le suivi des mises à jours il y-a les Google Pixels et tout les téléphones Android One sans surcouche fabricant et opérateurs.
#20
#21
Chez Apple le problème c’est la dernière mise à jour qui fait ralentir le téléphone et/ou réduit l’autonomie de la batterie il ne faut jamais la faire.
" />
Comment savoir si c’est la dernière ? Hum…
#22
#23
Moi aussi je trouve qu’Apple est plutôt bon de ce coté la mais ils seraient déjà plus respectable s’ils permettaient de revenir a une version précédente facilement (surtout pour des téléphones en fin de vie).
De plus je fais parti des cons qui lisent les changelogs/se documentent et faire uniquement confiance aux mises a jours c’est parfois une connerie :
-Certaines failles/certains bugs ne sont corrigés qu’a la version suivante mais on en a pas conscience et on prend un risque
-On corrige 2 bugs dans une fonction qui n’est pas utile pour enlever une fonction qui l’est
-…
Les meilleurs moyens restant pour moi de ne pas foutre toute ma vie dedans et de désactiver les fonctions inutiles.
#24
#25
#26
iphone
#27