✔️ 2022-05-02 17:03:13 – Paris/France.
02 mai 2022, 15h01Mis à jour il y a 10 min
Par : Associated Press
Par Paul Rose Jr. pour Wealth of Geeks
C’est presque la période de l’année (mai) où Google déploie sa dernière mise à jour annuelle du système d’exploitation Android. Certains utilisateurs s’attendaient à ce qu’il arrive plus tôt cette année, en partie pour lutter contre le problème de surchauffe, ainsi que le bogue Android Auto. Heureusement, Google publie enfin Android 13 Beta 1. Mais pour les deux tiers des utilisateurs d’Android, un problème plus important se profile : ALHACK.
Pour être clair, un correctif pour corriger la vulnérabilité a déjà été publié par les principaux fabricants de puces téléphoniques Qualcomm et MediaTek, en décembre 2021. Mais si cela fait un moment que vous n’avez pas mis à jour votre téléphone, votre appareil peut toujours être vulnérable à une porte dérobée malveillante. attaque logicielle.
Attendez, il y a Apple dans mon Android ?
Pour bien comprendre le problème, il faut remonter à 2011. C’est à ce moment qu’Apple a ouvert le codec pour un son sans perte. Sorti en 2004, le Apple Lossless Audio Codec, ou ALAC, a été conçu pour donner le meilleur son audio numérique à partir du fichier le plus petit possible. C’est ce qui a permis de lire des fichiers audio compressés sur iPhone et iPod, ainsi que sur Mac, avec une qualité sonore de niveau professionnel.
Alors qu’ils épuisaient parfois sérieusement la batterie, la taille du fichier était la moitié de celle d’un enregistrement non compressé, ce qui permettait de sauvegarder beaucoup plus de chansons. En 2011, Apple a publié les détails du codec sur le serveur de licence Apache, et de nombreuses autres sociétés l’ont récupéré pour améliorer leurs systèmes d’exploitation et leurs chipsets.
Vulnérabilité de porte dérobée
Malheureusement, un effet secondaire inattendu de l’utilisation du codec ALAC tel que publié était la possibilité pour les pirates d’utiliser un fichier audio mal formé pour déjouer le système. Le fichier audio qui semble être endommagé ouvre le téléphone à un accès à distance.
Les pirates n’ont pas besoin d’être à proximité du téléphone pour l’exécuter, ce qui leur permet d’accéder à votre appareil, notamment d’écouter des conversations et même de diffuser des vidéos en direct. L’attaque par exécution de code à distance (RCE) a également permis aux pirates de modifier les privilèges de l’appareil, leur donnant accès à des données enregistrées sur le téléphone que même l’utilisateur ne peut pas voir.
Alors qu’Apple a constamment mis à jour et retravaillé son codec ALAC interne au fil des ans, ils n’ont jamais mis à jour l’open source. Par conséquent, la vulnérabilité n’a pas été découverte jusqu’à ce que Check Point Research la découvre et contacte Qualcomm et MediaTek. Heureusement, les deux grandes entreprises technologiques ont rapidement agi pour protéger leurs utilisateurs.
Le correctif est en place
Des correctifs qui réparaient le codec ont été publiés en décembre 2021 et envoyés aux fabricants de téléphones, leur permettant de mettre à jour le code avant que d’autres téléphones ne soient envoyés. Mais cela laisse encore des millions de téléphones Android fabriqués et vendus en 2021 qui pourraient encore être à risque. Surtout si vous êtes plus prudent quant à la mise à jour vers les versions bêta ou si vous ignorez simplement le danger pour votre technologie.
Quelle que soit votre approche habituelle, les experts recommandent à tous les utilisateurs d’Android de télécharger les dernières mises à jour de sécurité, à tout le moins pour protéger leurs appareils. Soit dit en passant, il est possible que Google publie Android 13 Beta 2 fin mai, il serait donc temps de mettre à jour et d’éviter la découverte de nouveaux bogues.
Espérons que cela servira de leçon aux deux principaux fabricants de puces Android de ne pas couper les coins ronds et de revérifier toutes les technologies sur lesquelles ils travaillent, plutôt que de transmettre ce risque au consommateur éventuel. Ce n’est pas un prix que les utilisateurs de téléphones Android devraient avoir à payer.
SOURCE : Reviews News
N’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 📱