Google corrige Android zero-day exploité par les autorités serbes

Google a publié des correctifs pour 43 vulnérabilités dans la mise à jour de sécurité d’Android de mars 2025, dont deux zero-days exploités dans des attaques ciblées.

Les autorités serbes ont utilisé l’un des zero-days, une vulnérabilité de sécurité de divulgation d’informations de gravité élevée (CVE-2024-50302) dans le pilote du noyau Linux pour les périphériques d’interface humaine, pour déverrouiller les périphériques confisqués.

La faille aurait été exploitée dans le cadre d’une chaîne d’exploitation Android zero-day développée par la société israélienne de criminalistique numérique Cellebrite pour déverrouiller les appareils confisqués.

La chaîne d’exploitation-qui comprend également une classe vidéo USB zero-day (CVE-2024-53104) corrigée le mois dernier et un pilote audio USB ALSA zero-day—- a été découverte par le Laboratoire de sécurité d’Amnesty International à la mi-2024 lors de l’analyse des journaux trouvés sur un appareil déverrouillé par les autorités serbes.

Google a déclaré à Breachtrace la semaine dernière qu’ils avaient partagé des correctifs pour ces failles avec des partenaires OEM en janvier.

« Nous étions conscients de ces vulnérabilités et des risques d’exploitation avant ces rapports et avons rapidement développé des correctifs pour Android. Des correctifs ont été partagés avec les partenaires OEM dans un avis aux partenaires le 18 janvier », a déclaré un porte-parole de Google à Breachtrace.

🚨 UPDATE YOUR DEVICES 🚨: Amnesty International uncovers sophisticated zero-day exploit affecting billions of Android devices.

Cellebrite's Linux USB exploit was used to unlock the phone of a Serbian youth activist, targeted in December 2024 **after** previous reports abuses pic.twitter.com/iJSzM9ndww

— Donncha Ó Cearbhaill (@DonnchaC) February 28, 2025

Le deuxième jour zéro corrigé ce mois-ci (CVE-2024-43093) est une vulnérabilité d’escalade de privilèges du framework Android qui permet aux attaquants locaux d’accéder à des répertoires sensibles en raison d’une normalisation unicode incorrecte en exploitant un contournement du filtre de chemin de fichier sans privilèges d’exécution supplémentaires ni interaction de l’utilisateur.

Les mises à jour de sécurité Android de ce mois-ci corrigent également 11 vulnérabilités qui peuvent permettre aux attaquants d’exécuter du code à distance sur des appareils vulnérables.

Google a publié deux ensembles de correctifs de sécurité, les niveaux de correctifs de sécurité 2025-03-01 et 2025-03-01. Ce dernier est livré avec tous les correctifs du premier lot et des correctifs pour les sous-composants tiers et du noyau à source fermée, qui peuvent ne pas s’appliquer à tous les appareils Android.

Les appareils Google Pixel reçoivent les mises à jour immédiatement, tandis que les autres fournisseurs mettront souvent plus de temps à tester et à affiner les correctifs de sécurité pour leurs configurations matérielles.

Les fabricants peuvent également hiérarchiser l’ensemble de correctifs précédent pour des mises à jour plus rapides, ce qui n’indique pas nécessairement un risque d’exploitation accru.

En novembre, la société a corrigé un autre jour zéro Android (CVE-2024-43047), qui a été identifié pour la première fois comme exploité par Google Project Zero en octobre 2024 et utilisé par le gouvernement serbe dans des attaques de logiciels espions NoviSpy ciblant les appareils Android des militants, des journalistes et des manifestants.